通过IAM用户控制资源访问 在协同使用资源的场景下，根据实际的职责权限情况，您可以创建多个IAM用户并为其授予不同的权限，实现不同IAM子用户可以分权管理不同的资源，从而提高管理效率，降低信息泄露风险。本文介绍如何创建IAM子用户并授予特定权限策略，从而控制对流量镜像资源的访问。 操作步骤 创建IAM子用户 具体操作，请参见“创建用户”。 创建自定义策略 天翼云提供了访问流量镜像资源的系统策略，更多信息，请参见“管理权限”。如果系统策略不能满足需求，您还可以创建自定义策略，具体操作，请参见“自定义策略“。 策略分为用户可以自行定义的自定义策略，以及预定义在平台录入的系统策略两类。 细粒度授权策略结构包括策略版本号（Version）及策略授权语句（Statement）列表。 策略版本号：Version，标识策略结构的版本号。目前为1.1. 策略授权语句：Statement，包括了基本元素：作用（Effect）和权限集（Action）。 作用（Effect）包含两种：允许（Allow）和拒绝（Deny）。 授权项（Action）是对资源的具体操作权限，支持单个或多个操作权限。 a) 脚本配置策略示例一：为IAM子用户配置虚拟私有云查看者权限。 { "Version": "1.1", "Statement": [ { "Action": [ "vpc:mirrorFilter:get", "vpc:mirrorFilter:list", "vpc:trafficMirror:get", "vpc:trafficMirror:list", "vpc:cloudServerNics:get", "vpc:cloudServerNics:list", "vpc:trafficMirror:", ], "Effect": "Allow" } ] } b) 脚本配置策略示例二：为IAM子用户配置虚拟私有云所有操作权限。 { "Version": "1.1", "Statement": [ { "Action": [ "vpc:mirrorFilter:", "vpc:trafficMirror:", "vpc:cloudServerNics:get", "vpc:cloudServerNics:list", ], "Effect": "Allow" } ] }

本文指导您如何删除天翼云SDWAN实例。 操作场景 用户删除天翼云SDWAN实例。 前提条件 请确保待删除的天翼云SDWAN实例没有绑定云间高速（标准版）实例，并且SDWAN实例中没有加载智能网关。 操作步骤 1. 登录天翼云SDWAN控制台； 2. 选择“天翼云SDWAN”，进入天翼云SDWAN列表页； 3. 选择待删除的SDWAN实例，单击其“操作”列的“更多删除”； 4. 仔细阅读弹窗信息，并单击“确定”，完成删除。

在CTS旧版事件列表查看审计事件 1. 登录控制台，选择“管理与部署 > 云审计服务 CTS”，进入云审计服务页面。 2. 单击左侧导航栏的“事件列表”，进入事件列表信息页面。 3. 用户每次登录云审计控制台时，控制台默认显示新版事件列表，单击页面右上方的“返回旧版”按钮，切换至旧版事件列表页面。 4. 在页面右上方，可以通过筛选时间范围，查询最近1小时、最近1天、最近1周的操作事件，也可以自定义最近7天内任意时间段的操作事件。 5. 事件列表支持通过筛选来查询对应的操作事件，如图所示。 6. 参数名称 说明 事件类型 事件类型分为“管理事件”和“数据事件”。 管理类事件，即用户对云服务资源新建、修改、删除等操作事件。 数据类事件，即OBS服务上报的OBS桶中的数据的操作事件，例如上传数据、下载数据等。 云服务 在下拉选项中，选择触发操作事件的云服务名称。 资源类型 在下拉选项中，选择操作事件涉及的资源类型。 各个云服务的资源类型请参见《云审计服务用户指南》的“支持审计的服务及操作列表”章节。 筛选类型 筛选类型分为“资源ID”、“事件名称”和“资源名称”。 资源ID：操作事件涉及的云资源ID。 当该资源类型无资源ID，或资源创建失败时，该字段为空。 事件名称：操作事件的名称。 各个云服务支持审计的操作事件的名称请参见《云审计服务用户指南》的“支持审计的服务及操作列表”章节。 资源名称：操作事件涉及的云资源名称。 当事件所涉及的云资源无资源名称，或对应的API接口操作不涉及资源名称参数时，该字段为空。 操作用户 触发事件的操作用户。 下拉选项中选择一个或多个操作用户。 查看事件中的tracetype的值为“SystemAction”时，表示本次操作由服务内部触发，该条事件对应的操作用户可能为空。 事件级别 可选项包含“所有事件级别”、“Normal”、“Warning”、“Incident”，只可选择其中一项。 Normal代表操作成功。 Warning代表操作失败。 Incident代表比操作失败更严重的情况，如引起其他故障等。 7. 选择完查询条件后，单击“查询”。 8. 在事件列表页面，您还可以导出操作记录文件和刷新列表。 1. 单击“导出”按钮，云审计服务会将查询结果以CSV格式的表格文件导出，该CSV文件包含了本次查询结果的所有事件，且最多导出5000条信息。 2. 单击按钮，可以获取到事件操作记录的最新信息。 9. 在事件的“是否篡改”列中，您可以查看该事件是否被篡改： 1. 上报的审计日志没有被篡改，显示“否”； 2. 上报的审计日志被篡改，显示“是”。 10. 在需要查看的事件左侧，单击展开该记录的详细信息。 11. 在需要查看的记录右侧，单击“查看事件”，会弹出一个窗口显示该操作事件结构的详细信息。 12. （可选）在旧版事件列表页面，单击右上方的“体验新版”按钮，可切换至新版事件列表页面。

天翼云监控支持使用告警联系组设置告警通知对象，本文为您介绍该应用场景下的操作步骤。 应用背景 当云主机监控产生告警时，云监控服务将通知告警联系人。您需要先创建告警联系人和告警联系组，并将告警联系人添加到告警联系组。在进行告警规则的创建时，选择相应的告警联系组，即可实现通过告警联系组来接收告警通知的目的。 步骤一：创建告警联系组 1.登录管理控制台。 2.单击“管理与部署 > 云监控”。 3.单击左侧“告警服务”下拉菜单，选择“告警联系人/组”，进入告警联系人管理界面。 4.选择“告警联系组”，点击下方“添加联系组”。 5.在新建联系组中操作相关联系人，点击确定，完成创建。 步骤二：设置告警规则 1.登录管理控制台。 2.单击“管理与部署 > 云监控”。 3.单击左侧“告警服务”下拉菜单，选择“告警规则”，进入告警规则管理界面。 4.单击右上方“创建告警规则”，进入“创建告警规则”界面。 5.在“选择告警联系组”中，选择接收该告警规则下告警通知的联系人组。当监控指标触发设定的阈值时，此联系人组内的联系人将在第一时间收到相应的告警通知。

本章介绍 Agent安装失败处理方法。 若为首次安装Agent出现安装失败，需根据命令安装、脚本安装不同的安装方式来分别做处理。 使用安装命令安装Agent失败 问题现象 使用命令安装失败，安装Agent后，控制台防护列表页面仍然显示“未安装”。 可能原因 解决方案 1、确认是否已关闭主机Selinux防火墙。 已关闭：请执行2。 未关闭：请关闭Selinux防火墙后重新安装。 2、确认主机是否已绑定弹性IP。 是：请执行3。 否：请绑定弹性IP后重新安装。 3、请根据主机所在区域、主机操作系统，确认安装命令是否正确。 ① 正确地选择主机所在的区域。 ② 根据主机操作系统复制正确的安装命令。 主机中32位的系统，只能使用32位系统对应的操作命令。 主机中64位的系统，只能使用64位系统对应的操作命令。 是：请执行4。 否：请使用正确的命令重新安装。 4、确认安装帐号是否为root帐号。 是：请执行5。 否：请使用root帐号重新安装。 5、使用root帐号如何卸载Agent？后强制安装。 安装成功：结束操作。 安装失败：请联系技术支持。

计费项 APM提供特惠包以及按需计费模式，计费项仅包含探针。 产品规格 计费方式 特惠包名称 规格 价格 计费单价 有效期 ::::::: 企业版 特惠包 初级特惠包 150个探针天 (包含资源可供150个探针使用1天，或5个探针使用30天） 700元 4.67元/探针天 1年 企业版 特惠包 中级特惠包 1200个探针天 (包含资源可供1200个探针使用1天，或40个探针使用30天） 4,200元 3.5元/探针天 1年 企业版 特惠包 高级特惠包 9600个探针天 (包含资源可供9600个探针使用1天，或320个探针使用30天） 25,200元 2.616元/探针天 1年 企业版 特惠包 黄金特惠包 36500个探针天（包含资源可供100个探针使用365天） 66,838元 1.8312/探针天 1年 企业版 特惠包 铂金特惠包 109500个探针天（包含资源可供300个探针使用365天） 174,000元 1.5696/探针天 1年 企业版 特惠包 顶级特惠包 182500个探针天（包含资源可供500个探针使用365天） 238,710元 1.308/探针天 1年 企业版 按需计费 4.8元/探针天（相当于0.2元/探针小时） 免费 体验版 完全免费，最多可接入10个探针在线

配置项 说明 标签 用于对 PV 对象进行标记和分类的元数据属性，可以赋予 PV 以自定义的属性或标识。 持久卷类型 当前支持云盘、弹性文件、对象存储、并行文件和海量文件，这里选择云盘。 具体创建页中展示的存储类型由当前资源池支持情况决定。 存储驱动 采用默认CSI驱动。 访问模式 单机读写（ReadWriteOnce）：卷可以被一个节点以读写方式挂载。 多机只读（ReadOnlyMany）：卷可以被多个节点以只读方式挂载。 多机读写（ReadWriteMany）：卷可以被多个节点以读写方式挂载。 说明：如果使用非共享盘存储，访问模式不能为ReadWriteMany或者ReadOnlyMany。仅PVC为块设备模式（Block）时，才可以使用共享盘，访问模式才可以为ReadWriteMany或者ReadOnlyMany。 挂载类型 当前支持ext4、xfs。 挂载选项 挂载参数，用户可根据自己的情况实际定制相关参数。 比如设置挂载参数为： discard：表示在挂载文件系统时指定 discard 参数，文件系统中删除文件后会自动触发 discard 操作，通知块设备释放掉未使用的 Block 。 卷模式 文件系统（Filesystem）：默认方式，该类型卷会被 Pod 挂载（Mount） 到某个目录。 如果卷的存储来自某块设备而该设备目前为空，Kuberneretes 会在第一次挂载卷之前在设备上创建文件系统。 块设备（Block）： 这类卷以块设备的方式交给 Pod 使用，其上没有任何文件系统。 这种模式对于为 Pod 提供一种使用最快可能方式来访问卷而言很有帮助， Pod 和卷之间不存在文件系统层。 说明：如果使用共享盘存储，卷模式仅支持块设备（Block）。 名称 PV的名称，以pvc开头。 已有存储类 选择存储类功能在静态存储卷场景下较少使用。 仅当已存在带有存储类声明的持久卷申明（PVC）时，才需在此处配置匹配的存储类以实现绑定。 云盘ID 选择已有云盘实例。单击会弹出选择云盘会话，会话中会展示可使用的云盘信息，可使用条件包括： 云盘所在可用区与集群节点可用区相同。 磁盘模式为VBD、磁盘为非加密盘。 磁盘为非系统盘 及非云主机成套资源 。 磁盘状态可用。 如磁盘为非共享盘，磁盘需未被挂载。 注意 同一个云硬盘不能导入到两个持久卷中使用，这样会造成一些K8S的使用问题。用户需要辨别哪些云硬盘已经被pv使用，需要避免出现两个持久卷指向同一个云硬盘的情况。

本章节主要介绍翼MapReduce的配置监控指标数据转储操作。 操作场景 监控数据上报功能可以将系统中采集到的监控数据写入到文本文件，并以FTP或SFTP的形式上传到指定的服务器中。 使用该功能前，管理员需要在FusionInsight Manager页面进行相关配置。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“系统 > 对接 > 监控数据上传”。 3. 单击“监控数据上传”右边的开关。 “监控数据上传”默认为不启用，开关显示为表示启用。 4. 根据下表所示的说明填写上传参数： 上传配置参数 参数名称 参数说明 FTP IP地址模式 必选参数，指定服务器IP地址模式，可选择“IPV4”或“IPV6”。 FTP IP地址 必选参数，指定监控指标数据对接后存放监控文件的FTP服务器。 FTP端口 必选参数，指定连接FTP服务器的端口。 FTP用户名 必选参数，指定登录FTP服务器的用户名。 FTP密码 必选参数，指定登录FTP服务器的密码。 保存路径 必选参数，指定监控文件在FTP服务器保存的路径。 转储时间间隔（秒） 必选参数，指定监控文件在FTP服务器保存的周期，单位为秒。 转储模式 必选参数，指定监控文件发送时使用的协议。可选协议为“SFTP”和“FTP”。建议使用基于SSH v2的SFTP模式，否则可能存在安全风险。 SFTP服务公钥 可选参数，指定FTP服务器的公共密钥，“转储模式”选择“SFTP”时此参数生效。 5. 单击“确定”，设置完成。 说明 选择转储模式为SFTP，当SFTP服务公钥为空时，先进行安全风险提示，确定安全风险后再保存配置。

本章节主要介绍翼MapReduce组件Spark使用的常见问题。 问题说明 使用Spark SQL 访问Hive 表的一个表分区，但是运行速度却很慢。 分析样例： select x,y from test where x1 （其中x是test表的 Partition 字段） 原因分析 按照spark 源码逻辑，在解析逻辑计划时候回去调用 getPartitionsByFilter方法 去hive中只提取 x1 分区信息。 但是由于一些原因，导致getPartitionsByFilter 的谓词下推失败，从而去全表扫描所有test的分区信息，并返回。 例如，我们x字段是String类型，但是我们的SQL中不是 where x’1’ ，而是where x1 ，这就导致了谓词下推失败。 出现hive分区表谓词下推失败的情况，我们可以做如下处理： 我们需要去检查sql中的写法是否正确。 可以关闭SQL逻辑计划解析过程中的谓词下推逻辑。 处理步骤 关闭SQL逻辑计划解析过程中的谓词下推逻辑，具体是Spark SQL默认开启基于分区统计信息的执行计划优化，相当于自动执行Analyze Table（默认开启的设置方法为spark.sql.statistics.fallBackToHdfstrue，可通过配置为false关闭）。 开启后，SQL执行过程中会扫描表的分区统计信息，并作为执行计划中的代价估算，例如对于代价评估中识别的小表，会广播小表放在内存中广播到各个节点上，进行join操作，大大节省shuffle时间。 此开关对于Join场景有较大的性能优化，但是会带来 获取分区表信息RPC请求 的增加。 在SparkSQL中设置以下参数后再运行： set spark.sql.statistics.fallBackToHdfsfalse; 或者在启动之前使用conf设置这个值为false： conf spark.sql.statistics.fallBackToHdfsfalse

本章节主要介绍翼MapReduce服务退服和入服务角色实例。 操作场景 某个Core或Task节点出现问题时，可能导致整个集群状态显示为“异常”。MRS集群支持将数据存储在不同Core节点，用户可以在MRS Manager指定角色实例退服，使退服的角色实例不再提供服务。在排除故障后，可以将已退服的角色实例入服。 支持退服、入服的角色实例包括： HDFS的DataNode角色实例 Yarn的NodeManager角色实例 HBase的RegionServer角色实例 Kafka的Broker角色实例 限制： 当DataNode数量少于或等于HDFS的副本数时，不能执行退服操作。例如HDFS副本数为3时，则系统中少于4个DataNode，将无法执行退服，Manager在执行退服操作时会等待30分钟后报错并退出执行。 Kafka Broker数量少于或等于副本数时，不能执行退服。例如Kafka副本数为2时，则系统中少于3个节点，将无法执行退服，Manager执行退服操作时会失败并退出执行。 已经退服的角色实例，必须执行入服操作启动该实例，才能重新使用。 操作步骤 在MRS Manager，单击“服务管理”。 1.单击服务列表中相应服务。 2.单击“实例”页签。 3.勾选指定角色实例名称前的复选框。 4.选择“更多 > 退服”或“入服”执行相应的操作。 说明 实例退服操作未完成时在其他浏览器窗口重启集群中相应服务，可能导致MRS Manager提示停止退服，实例的“操作状态”显示为“已启动”。实际上后台已将该实例退服，请重新执行退服操作同步状态。

本章主要介绍翼MapReduce的查看备份恢复任务功能。 操作场景 系统管理员可以通过FusionInsight Manager查看已创建的备份恢复任务，以及任务的运行情况。 前提条件 登录FusionInsight Manager，请参见登录管理系统。 操作步骤 1.在FusionInsight Manager，选择“运维 > 备份恢复”。 2.单击“备份管理”或“恢复管理”。 3.在任务列表中，查看“任务状态”与“任务进度”列获取上一次任务运行的结果。绿色表示运行成功，红色表示运行失败。 4.在任务列表指定任务的“操作”列，选择“更多 > 查询历史”或单击“查询历史”，打开备份恢复任务运行记录。 在弹出的窗口中，在指定一次执行记录前单击，打开此次任务运行的日志信息。 相关任务 启动备份恢复任务 在任务列表指定任务的“操作”列，选择“更多 > 即时备份”或单击“执行”，启动处于准备或失败状态的备份恢复任务。已成功执行过的恢复任务不能重新运行。 停止备份恢复任务 在任务列表指定任务的“操作”列，选择“更多 > 停止”或单击“停止”，停止处于运行状态的备份恢复任务。停止成功后，该任务的“任务状态”变为“已停止”。 删除备份恢复任务 在任务列表指定任务的“操作”列，选择“更多 > 删除”或单击“删除”，删除备份恢复任务。删除任务后备份的数据默认会保留。 挂起备份任务 在任务列表指定任务的“操作”列，选择“更多 > 挂起”，挂起备份任务。仅支持周期备份的任务，挂起后周期备份任务不再自动执行。挂起正在执行的备份任务时，该任务会停止运行。需要解锁时，选择“更多 > 重新执行”。

本章节主要介绍翼MapReduce的静态服务资源操作。 简介 集群分配给各个服务的资源是静态服务资源，这些服务包括Flume、HBase、HDFS和Yarn。每个服务的计算资源总量固定，不与其他服务共享，是静态的。租户通过独占或共享一个服务来获取这个服务运行时需要的资源。 静态服务池 静态服务池用来指定服务资源的配置。 在服务级别上，静态服务池对各服务可使用的资源进行统一管理： 限制服务使用的资源总量，支持配置Flume、HBase、HDFS和Yarn在部署节点可使用的CPU、I/O和内存总量。 实现服务级别的资源隔离，可将集群中的服务与其他服务隔离，使一个服务上的负载对其他服务产生的影响有限。 调度机制 静态服务资源支持基于时间的动态调度机制，可以在不同时间段为服务配置不同的资源量，优化客户业务运行环境，提高集群的效率。 在一个复杂的集群环境中，多种服务共享使用集群资源，但是各服务的资源使用周期可能会有比较大的区别。 例如以下业务场景，对于一个银行客户： 在白天HBase查询服务的业务多。 在晚上查询服务的业务少而Hive分析服务业务多。 如果只给每个服务设置固定的资源可能会导致： 白天查询服务的资源不够用，分析服务的资源空闲。 晚上分析服务的资源不够用，查询服务的资源空闲。 集群资源利用率不高，而且服务能力也打了折扣。因此： 白天多配置HBase服务资源。 晚上多配置Hive服务资源。 这种基于时间的动态调度机制可以更高效的利用资源，运行任务。

本章节主要介绍翼MapReduce的切换调度器操作。 操作场景 新安装的MRS集群默认即使用了Superior调度器，如果是历史版本升级的集群，管理员可以根据以下指导，将Yarn的调度器从Capacity调度器一键式切换到Superior调度器。 前提条件 确保集群网络通畅，网络环境安全，Yarn服务状态正常。 在切换调度器期间，不允许做添加、删除、修改租户，以及启停服务等操作。 对系统的影响 调度器切换过程中，由于要重启Resource Manager，因此切换期间向Yarn提交任务会失败。 调度器切换过程中，正在Yarn上面执行的Job的Task任务会继续执行，但不会启动新的Task。 调度器切换完成后，在Yarn上面执行的任务有可能会失败进而导致业务中断。 调度器切换完成后，在租户管理中将使用Superior的相关参数。 调度器切换完成后，Capacity调度器中“资源容量”为“0”的租户队列在Superior调度器中分配不到资源，提交到该租户队列的任务会执行失败。建议在Capacity调度器中不要将租户队列的“资源容量”配置为“0”。 调度器切换完成后，在观察期内，不允许对资源池、Yarn节点标签（Label）和租户做添加、删除的操作。若添加或者删除了资源池、Yarn节点标签（Label）或租户，将不支持回退到Capacity调度器。 说明 切换调度器观察期建议为一周，如果对资源池、Yarn节点标签（Label）或租户做了添加、删除的操作，将视为观察期结束。 回退可能会丢失部分或者所有的Yarn任务信息。

版本 域名/IP个数 扫描次数 单个任务时长 任务优先级 单用户并发扫描数 基础版 Web漏扫：包含5个二级域名或IP:端口。 Web漏扫：5个域名每日总共可以扫描5次。 2小时 低 默认Web漏扫最大并发为1个域名。 专业版 Web漏扫：包含1个二级域名或IP:端口。 主机漏扫：包含20个IP地址。 无限制 高 默认Web漏扫最大并发为3个域名。 默认主机漏扫最大并发为5个IP。 高级版 Web漏扫：默认包含1个一级域名（不限制下属二级域名个数）/IP（不限制端口个数）。 主机漏扫：不限制IP地址个数。 无限制 高 默认Web漏扫最大并发为5个域名。 默认主机漏扫最大并发为10个IP。 企业版 Web漏扫：默认包含5个一级域名（不限制下属二级域名个数）/IP（不限制端口个数）。 主机漏扫：不限制IP地址个数。 说明 当默认的扫描配额不能满足您的需求时，您可以通过购买扫描配额包增加扫描配额（一个扫描配额包中包含一个一级域名扫描配额）。 无限制 高 默认Web漏扫最大并发为10个域名。 默认主机漏扫最大并发为20个IP。 说明 更高并发需要，请提交工单联系专业工程师为您服务。

版本 域名/IP个数 扫描次数 单个任务时长 任务优先级 单用户并发扫描数 基础版 Web漏扫：包含5个二级域名或IP:端口。 Web漏扫：5个域名每日总共可以扫描5次。 2小时 低 默认Web漏扫最大并发为1个域名。 专业版 Web漏扫：包含1个二级域名或IP:端口。 主机漏扫：包含20个IP地址。 无限制 高 默认Web漏扫最大并发为3个域名。 默认主机漏扫最大并发为5个IP。 高级版 Web漏扫：默认包含1个一级域名（不限制下属二级域名个数）/IP（不限制端口个数）。 主机漏扫：不限制IP地址个数。 无限制 高 默认Web漏扫最大并发为5个域名。 默认主机漏扫最大并发为10个IP。 企业版 Web漏扫：默认包含5个一级域名（不限制下属二级域名个数）/IP（不限制端口个数）。 主机漏扫：不限制IP地址个数。 说明 当默认的扫描配额不能满足您的需求时，您可以通过购买扫描配额包增加扫描配额（一个扫描配额包中包含一个一级域名扫描配额）。 无限制 高 默认Web漏扫最大并发为10个域名。 默认主机漏扫最大并发为20个IP。 说明 更高并发需要，请提交工单联系专业工程师为您服务。

本文为您介绍如何用curl命令接入OpenSearch实例。 概述 使用 Curl 是最简单直接的方式访问 OpenSearch 实例。它允许用户通过命令行发送 HTTP/HTTPS请求与实例进行交互，例如创建索引、查询集群状态等操作。 前提条件 已开通天翼云云搜索服务OpenSearch实例。 实例已绑定公网IP，具体可参考“实例公网访问”章节。 本地已按照Curl工具。 操作步骤 实例使用HTTP协议访问OpenSearch实例 plaintext curl u : " user：OpenSearch实例用户名，比如admin。 password：该用户密码，比如用户配置的OpenSearch实例admin用户密码。 host：主机IP，即实例绑定的公网IP。 port：端口号，一般是9200。 实例使用HTTPS协议访问OpenSearch实例 方式一：忽略证书校验（适用于自签名证书或快速测试） 在使用自签名证书时，可以使用k 或 insecure 参数跳过安全校验： plaintext curl u k : " 方式二：指定证书访问（推荐生产环境） 为了保证通信的绝对安全，推荐通过cacert 参数指定根证书的绝对路径来进行访问： plaintext curl u : " cacert /path/to/your/ca.pem 证书可以从云搜索服务控制台 “安全设置”页面下载。

接口功能介绍 创建监听器 接口约束 该接口为异步接口，第一次请求会返回资源在创建中，需要用户发起多次请求，直到 status 为 done 为止。 URI POST /v4/elb/asynccreatelistener 路径参数 无 Query参数 无 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 clientToken 是 String 客户端存根，用于保证订单幂等性。要求单个云平台账户内唯一,164 regionID 是 String 区域ID loadBalanceID 是 String 负载均衡实例ID name 是 String 唯一。支持拉丁字母、中文、数字，下划线，连字符，中文 / 英文字母开头，不能以 http: / https: 开头，长度 2 32 acl11 description 否 String 支持拉丁字母、中文、数字, 特殊字符：~~!@ $%^&()+ <>?:{},./;'[]·~~！@ ￥%……&（） —— +{}《》？：“”【】、；‘'，。、，不能以 http: / https: 开头，长度 0 128 protocol 是 String 监听协议。取值范围：TCP、UDP、HTTP、HTTPS protocolPort 是 Integer 负载均衡实例监听端口。取值：165535 8080 certificateID 否 String 证书ID。当protocol为HTTPS时,此参数必选 caEnabled 否 Boolean 是否开启双向认证。false（不开启）、true（开启） false clientCertificateID 否 String 双向认证的证书ID targetGroup 是 Array of Objects 后端服务组 targetGroup accessControlID 否 String 访问控制ID accessControlType 否 String 访问控制类型。取值范围：Close（未启用）、White（白名单）、Black（黑名单） forwardedForEnabled 否 Boolean x forward for功能。false（未开启）、true（开启） true 表 targetGroup 参数 是否必填 参数类型 说明 示例 下级对象 name 是 String 后端服务组名字 test algorithm 是 String 负载均衡算法，支持: rr (轮询), lc (最少链接) rr targets 否 Array of Objects 后端服务 targets healthCheck 否 Object 健康检查配置 healthCheck sessionSticky 否 Object 会话保持 sessionSticky 表 targets 参数 是否必填 参数类型 说明 示例 下级对象 instanceID 是 String 后端服务主机 id xxxxxxxxxx protocolPort 是 Integer 后端服务监听端口165535 80 instanceType 是 String 后端服务主机类型,仅支持vm类型 vm weight 是 Integer 后端服务主机权重: 1 256 1 address 是 String 后端服务主机主网卡所在的 IP 192.168.0.1 表 healthCheck 参数 是否必填 参数类型 说明 示例 下级对象 protocol 是 String 健康检查协议。取值范围：TCP、UDP、HTTP timeout 否 Integer 健康检查响应的最大超时时间，取值范围：260秒，默认为2秒 2 interval 否 Integer 负载均衡进行健康检查的时间间隔，取值范围：120940秒，默认为5秒 5 maxRetry 否 Integer 最大重试次数，取值范围：110次，默认为2次 2 httpMethod 否 String 仅当protocol为HTTP时必填且生效,HTTP请求的方法默认GET，{GET/HEAD} httpUrlPath 否 String 仅当protocol为HTTP时必填且生效,默认为'/',支持的最大字符长度：80 / httpExpectedCodes 否 String 仅当protocol为HTTP时必填且生效，最长支持64个字符，只能是三位数，可以以,分隔表示多个，或者以分割表示范围，默认200 200 表 sessionSticky 参数 是否必填 参数类型 说明 示例 下级对象 sessionType 是 String 会话保持类型。取值范围：APPCOOKIE、HTTPCOOKIE、SOURCEIP APPCOOKIE cookieName 否 String cookie名称，当 sessionType 为 APPCOOKIE 时，为必填参数 test persistenceTimeout 否 Integer 会话过期时间，当 sessionType 为 APPCOOKIE 或 SOURCEIP 时，为必填参数 10000

本小节主要介绍对RDSPostgreSQL实例进行备份空间扩容。 操作场景 RDSPostgreSQL实例支持备份类型为云硬盘的备份空间进行扩容操作。若原先的数据库实例的备份磁盘空间不足，您可以根据数据库业务的实际需求进行备份空间扩容。 约束限制 用户账户余额需大于0元，方可进行备份磁盘空间扩容。 备份磁盘扩容后的磁盘空间不能小于实例磁盘容量。 扩容次数没有限制。 备份磁盘容量只允许扩容，不允许缩容。 备份类型为云硬盘类型。 操作步骤 Ⅰ类资源池操作步骤 1. 登录天翼云门户。 2. 点击【控制中心】，选择对应资源池，例如“上海7”。 3. 选择【关系数据库PostgreSQL版】，点击进入组件控制台管理页面。 4. 在实例管理页面，选择需要备份空间扩容的实例，点击"操作"列的"更多"选项。 5. 在"更多"选项中点击选择"备份空间扩容"，跳转到"备份空间扩容"页面。 6. 在"备份空间扩容"界面，您只需要选择当前备份空间需要扩容到的"存储空间"。确认最新备份磁盘容量大小无误后，点击"提交"。 7. 跳转到"订单支付详情"界面，请您确认订单信息无误后，点击"立即支付"。 8. 再次跳转到"订单支付详情"页面后，请您二次确认订单信息无误后，点击"立即支付"按钮。 9. 订单支付完成后，系统开始执行备份空间扩容操作，您可以在控制台的"实例管理"中查看对应的"实例状态"为"扩容中"。当备份空间扩容完成后刷新页面，"实例状态"显示"运行中"。

监控通知将为您提供云监控平台相关通知消息，为避免您日常使用受到影响，建议你及时关注监控通知消息。 操作场景 监控通知功能便于您及时了解监控平台推送您的重要通知消息。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控”，进入监控概览页面。 4. 单击右上角“监控通知”按钮，即可查看云监控平台推送的通知消息。 说明 在监控通知抽屉页，您可点击消息右上角“标为已读”按钮，确认您已知晓消息内容。 “监控概览”/“监控面板”页面，监控通知按钮右上角数值，表示用户未读消息数目。 在4.0资源池，监控通知功能在“监控概览”、“监控面板”页面均显示；在3.0资源池，监控通知功能在“监控面板”页面显示。 注意 “监控通知”功能仅在云监控平台根据业务需求，向您推送相关通知信息后，控制台才显示相关功能。

本页为您介绍数据库专家服务的购买流程。 开通数据库专家服务，需要先注册天翼云账户并确保已完成实名认证 1. 注册并登录天翼云官网 2. 未实名认证的用户请按提示完成实名认证才能开通数据库专家服务，实名认证指南请参见账号中心操作指南实名认证。 数据库专家服务支持按次计费和按周期计费两种方式 按次计费产品购买流程 1. 购买数据库专家服务按次/天计费产品之前请确保您的账户余额大于本次购买服务的费用。 2. 进入数据库专家服务产品详情页快速了解产品，之后单击【立即开通】。 3. 在购买页面选择服务类型为基础服务（或保驾护航服务），并选择服务内容，填写用户信息，填写购买数量，勾选并阅读服务协议，确认无误后点击【立即订购】。 4. 购买成功后，3个工作日内专家会联系并完成评估，评估通过即可进入服务实施阶段。 按周期计费产品购买流程 1. 购买数据库专家服务按周期计费产品之前请确保您的账户余额大于本次购买服务的费用。 2. 进入数据库专家服务产品详情页快速了解产品，并建议咨询客服确认天翼云能否按您的需要提供相应的服务内容，如确认能，则单击【立即开通】。 3. 在购买页面选择服务类型为数据库增值服务包，填写用户信息，填写购买时长和数量，勾选并阅读服务协议，确认无误后点击【立即订购】。 4. 购买成功后，天翼云完成评估，与客户确认后进入服务实施阶段。

参数 是否必填 参数类型 说明 示例 下级对象 instanceID 是 String 后端服务主机 id xxxxxxxxxx protocolPort 是 Integer 后端服务监听端口 80 instanceType 是 String 后端服务主机类型，目前支持 vm vm weight 是 Integer 后端服务主机权重: 1 256 1 address 是 String 后端服务主机主网卡所在的 IP 192.168.0.1

本小节介绍解绑配额。 您可将解绑后的空闲配额分配给其他主机继续使用或退订无需使用的配额，避免造成配额资源的浪费。 前提条件 主机已绑定配额。 解绑主机配额 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全>企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 说明 切换至新版后，在总览页左上角单击“返回旧版”，可切换至主机安全（旧版）。 4、在左侧选择“资产管理>主机管理”页面，选择“防护配额”页签，进入防护配额列表页面，点击目标选项可进行筛选查看。 进入防护配额页面 5、在防护配额列表页面，单击“解除绑定”，解除绑定的配额。 解除绑定操作页面 说明 解绑配额后，HSS将无法检测您主机存在的潜在风险，请谨慎操作。 6、在弹出的解绑配额对话框中，单击“确定”，解除绑定。

本小节介绍解绑配额。 您可将解绑后的空闲配额分配给其他主机继续使用或退订无需使用的配额，避免造成配额资源的浪费。 前提条件 主机已绑定配额。 解绑主机配额 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全>企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 说明 切换至新版后，在总览页左上角单击“返回旧版”，可切换至主机安全（旧版）。 4、在左侧选择“资产管理>主机管理”页面，选择“防护配额”页签，进入防护配额列表页面，点击目标选项可进行筛选查看。 进入防护配额页面 5、在防护配额列表页面，单击“解除绑定”，解除绑定的配额。 解除绑定操作页面 说明 解绑配额后，HSS将无法检测您主机存在的潜在风险，请谨慎操作。 6、在弹出的解绑配额对话框中，单击“确定”，解除绑定。

配置项 配置说明 自动安装JDK 主机需要具备JAVA8+环境。开启此开关后，将为主机自动安装JDK。安装的版本为jdk1.8.0202，指定安装目录为“/usr/local”。若关闭此开关，则需手动安装。 如何安装JAVA8+？ 自动安装Git 主机需要具备Git环境。开启此开关后，将为主机自动安装Git。自动安装使用 yum y install git 或 aptget install git 命令安装，需要用户确认安装主机是否有适合的yum源。若关闭此开关，则需手动安装。 如何安装Git？ 自动安装Docker 主机需要具备Docker环境。开启此开关后，将为主机自动安装Docker。安装的版本为docker18.06.1ce，指定安装目录为“/usr/local”。安装完成后将自动注册服务并启动docker服务。若关闭此开关，则需手动安装。 如何安装Docker？

本节介绍了如何获取天翼云提供的CNAME,并将域名或者业务的DNS解析指向天翼云提供的CNAME,这样访问的请求才能转发到边缘云节点上,达到安全防护效果。 前提条件 您已经完成添加服务域名，如果您未添加，请参考添加服务域名。 操作步骤 1. 在控制台【安全与加速】—【域名管理】中复制域名对应的CNAME。 2. 前往您的域名解析(DNS)服务商(如万网、阿里云解析、DNSPod、新网、腾讯云解析、route 53、godaddy等)，添加该CNAME记录。 以DNSPod操作界面为例，配置如下 3. 验证服务是否生效。配置CNAME后，不同的服务商CNAME生效的时间也不同，一般新增的CNAME记录会立即生效，修改的CNAME记录会需要较长时间生效；您可以 ping 或 dig 您所添加的加速域名，如果被指向.ctyun.cn，即表示CNAME配置已经生效，功能也已生效。 注意: 配置CNAME完毕，CNAME配置生效后，边缘安全加速平台—安全与加速服务生效。 CNAME配置生效时间：新增CNAME记录会实时生效，而修改CNAME记录需要最多72小时生效时间。 添加时如遇添加冲突，可参考以下“解析记录互斥规则” 调整记录。 在提示冲突的时候，说明已经有对应的记录，不允许重复添加或者说不能添加对应的记录，提供如下说明： 在RR值（Resource Records，资源记录）相同的情况下，同一条线路下，在几种不同类型的解析中不能共存( X 为不允许)。 X：在相同的 RR 值情况下，同一条线路下，不同类型的解析记录不允许共存。如：已经设置了 www.ctyun.cn 的 A 记录，则不允许再设置 www.ctyun.cn 的 CNAME 记录。 无限制：在相同的 RR 值情况下，同一条线路下，不同类型的解析记录可以共存。如：已经设置了 www.ctyun.cn 的 A 记录，则还可以再设置 www.ctyun.cn 的 MX 记录。 可重复： 指在同一类型下，同一条线路下，可设置相同的多条 RR 值。如：已经设置了 www.ctyun.cn 的 A 记录，还可以再设置 www.ctyun.cn 的 A 记录。

本文详细介绍到期与欠费说明。 到期 AOne边缘安全加速平台的基础套餐为包年包月的销售品，在资源到期前7天、3天、1天会以邮件的方式通知客户资源即将到期；在到期当天会以邮件、站内信和短信的方式通知客户。 客户选择订购套餐或资源包，如果客户拟在服务期限届满或资源包抵扣完成后继续使用服务，客户应当及时续订套餐、资源包或开通按需计费。否则，天翼云将在服务期限届满或资源包抵扣完成后暂停向客户提供服务目冻结资源，天翼云有权立即释放客户的资源，并删除相关数据。 产品/服务冻结时：资源将被限制访问和使用，会导致您的业务中断。 产品/服务解冻时：资源将被解除限制，但是需要您自行去自助控制台检查并恢复业务。 产品/服务释放时：资源将被释放，存储在资源中的数据将被删除，数据无法找回。 欠费 在天翼云账户中没有费用并欠款的情况下，天翼云会以短信的方式通知客户充值；如果客户在48小时内未付清所欠金额，则将关停客户的边缘安全加速平台。 服务到期，关停服务 关停客户的边缘安全加速平台安全与加速服务，天翼云CDN会将加速域名的CNAME立即解析至不可用地址。 注意：对域名进行停用操作后，CDN节点会立即删除配置，但仍会在系统数据库中保留原来的配置记录，可再次对域名进行"启用"操作。

参数名称 参数说明 告警名称 告警事件名称。单击告警名称，可查看告警详情。 告警等级 告警威胁等级，蜜罐防护事件分为以下两个等级： 高危：远端主机多次连接蜜罐端口。 中危：远端主机连接了蜜罐端口。 告警摘要 告警事件关键信息摘要，您可以根据这些信息了解可能失陷的主机和该主机与蜜罐端口建立的连接行为。 影响资产 失陷主机连接的动态端口蜜罐服务器。 告警发生时间 告警发生的时间。 状态 告警处理状态，分为“已处理”和“待处理”。 操作 您可以对告警事件进行“处置”操作。

本文介绍如何处理linux操作系统云主机中buffer和cache占用内存问题。 问题描述 系统长期运行后，free命令查看系统内存，发现剩余内存不足，大部分是buffers和cached。 问题分析 在Linux操作系统中，缓冲（buffer）和缓存（cache）占用了部分内存。这些是操作系统用于提高文件系统和磁盘访问性能的正常数据结构。然而，如果你发现内存占用过高，可能需要采取一些措施来优化系统。 在 Linux 的内存管理中，buffer是Linux内存中的Buffer cache。cache是Linux内存中的Page cache。 · Buffer cache：主要是当系统对块设备进行读写的时候，对块进行数据缓存的系统来使用，即对块的操作会使用buffer cache进行缓存。 例如：当对一个文件进行写操作的时候，page cache 的内容会被改变，而buffer cache则可以用来将page标记为不同的缓冲区，并记录是哪一个缓冲区被修改了。内核在后续执行脏数据的回写writeback时，就不用将整个page写回，而只需要写回修改的部分可。 · Page cache：主要用来作为文件系统上的文件数据的缓存来用，尤其是针对当进程文件有read/write操作的时候。Linux默认会将读取的文件内容缓存在内存中，方便后续使用。 Linux默认使用的是lazy模式，即内存如果还够用，则不会主动释放当前的占用的buffer和cache，如果需要内存，则会自动释放buffer和cache，所以正常情况下，cache占用高不会对系统造成影响。

本节介绍了通过puttygen.exe工具创建的密钥对,导入管理控制台失败怎么办的问题描述、可能原因、处理方法。 问题描述 通过puttygen.exe工具创建的密钥对，在导入管理控制台使用时，系统提示导入公钥文件失败。 可能原因 公钥内容的格式不符合系统要求。 当用户使用puttygen.exe工具创建密钥对时，如果使用puttygen.exe工具的“Save public key”按钮保存公钥，公钥内容的格式会发生变化，不能直接导入管理控制台使用。 处理方法 使用本地保存的私钥文件，在“PuTTY Key Generator”中恢复内容格式正确的公钥文件，然后再将该公钥文件导入管理控制台。 1. 双击“PUTTYGEN.EXE”，打开“PuTTY Key Generator”。 图 PuTTY Key Generator 2. 单击“Load”，并在本地选择该密钥对的私钥文件。 系统将自动加载该私钥文件，并在“PuTTY Key Generator”中恢复格式正确的公钥文件内容，如下图所示，红框中的内容即为符合系统要求的公钥文件。 图 恢复公钥文件内容 3. 复制红框中的公钥内容，并将其粘贴在文本文档中，以.txt格式保存在本地，保存公钥文件。 4. 将公钥文件导入管理控制台。 a. 登录管理控制台。 b. 选择“计算 > 弹性云主机”。 c. 在左侧导航树中，选择“密钥对”。 d. 在“密钥对”页面，单击“导入密钥对”。 e. 将“.txt”格式文本文档中的公钥内容粘贴至“Public Key Content”的空白区域，并单击“OK”，导入公钥文件。

问题描述 在升级Linux内核后，用户可能会遇到NVIDIA驱动不可用的问题。这种情况通常表现为以下错误信息： 错误1：执行 nvidiasmi 时出现以下错误： 错误信息： Failed to initialize NVML: Driver/library version mismatch 说明： 该错误表示NVIDIA驱动和库版本不匹配，通常是因为内核升级后旧版驱动不再适用于新内核。 错误2： 执行 nvidiasmi 时出现以下错误： 错误信息： NVIDIASMI has failed because it couldn't communicate with the NVIDIA driver 说明： 该错误表示NVIDIA驱动未正确加载或未安装，导致无法与NVIDIA硬件进行通信。 解决方法 1.检查当前内核版本 uname r 2.查看安装驱动时的内核版本 RedHat系（CentOS）系统执行 find /usr/lib/modules name nvidia.ko Debian类（Ubuntu）系统执行 find /lib/modules name nvidia.ko 如果当前内核版本与安装驱动时的内核版本不一致，则确认为内核升级后导致的驱动不可用。 3.移除现有NVIDIA驱动模块 依次执行以下命令，以确保所有与NVIDIA相关的驱动模块已被移除： rmmod nvidiadrm rmmod nvidiamodeset rmmod nvidia 4.查看GPU信息 执行以下命令以查看当前GPU的状态： nvidiasmi 5.检查回显结果 如果命令输出正常，且能够显示GPU信息，则问题已修复。 如果输出仍然报错，请参考以下步骤进行进一步处理。 如果业务依赖于新版本内核，则需要参考官方文档卸载当前驱动，并在该内核下重新安装驱动。 如果不小心升级了内核驱动，而当前的驱动与新版本内核不兼容，可以通过重启云主机并使用旧版本内核登录，从而恢复驱动的正常运行。

本节介绍什么是漏洞扫描服务。 漏洞扫描服务（Vulnerability Scan Service，简称VSS）是针对网站、主机进行漏洞扫描的一种安全检测服务，目前提供通用漏洞检测、漏洞生命周期管理服务。 工作原理 漏洞扫描服务具有Web网站扫描和主机扫描两种扫描能力。 Web网站扫描 采用网页爬虫的方式全面深入的爬取网站url，基于多种不同能力的漏洞扫描插件，模拟用户真实浏览场景，逐个深度分析网站细节，帮助用户发现网站潜在的安全隐患。同时内置了丰富的无害化扫描规则，以及扫描速率动态调整能力，可有效避免用户网站业务受到影响。 主机扫描 经过用户授权（支持账密授权）访问用户主机，漏洞扫描服务能够自动发现并检测主机操作系统、中间件等版本漏洞信息和基线配置，实时同步官网更新的漏洞库匹配漏洞特征，帮助用户及时发现主机安全隐患。

本章节主要介绍授权相关问题中有关使用咨询的问题。 DLI细粒度授权 DLI服务不仅在服务本身有一套完善的权限控制机制，同时还支持通过统一身份认证服务（Identity and Access Management，简称IAM）细粒度鉴权，可以通过在IAM创建策略来管理DLI的权限控制。 通过IAM，您可以在云账号中给员工创建IAM用户，并使用策略来控制他们对云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有DLI的使用权限，但是不希望他们拥有删除DLI等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用DLI，但是不允许删除DLI的权限策略，控制他们对DLI资源的使用范围。 说明 对于新建的用户，需要先登录一次DLI，记录元数据，后续才可正常使用。 IAM是云提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费。 如果云账号已经能满足您的需求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用DLI服务的其他功能。 DLI系统权限 如下表DLI系统权限所示，包括了DLI的所有系统权限。 权限类别：根据授权精程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对DLI服务，管理员能够控制IAM用户仅能对某一类云主机资源进行指定的管理操作。 系统角色/策略名称 描述 类别 DLI FullAccess 数据湖探索所有权限。 系统策略 DLI ReadOnlyAccess 数据湖探索只读权限。 只读权限可控制部分开放的、未鉴权的DLI资源和操作。例如创建全局变量、创建程序包以及程序包组、default队列提交作业、default数据库下建表、创建跨源连接、删除跨源连接等操作。 系统策略 Tenant Administrator 租户管理员。 操作权限：具有所有云服务的管理和使用权限。创建后，可通过ACL赋权给其他子用户使用。 作用范围：项目级服务。 系统角色 DLI Service Admin DLI服务管理员。 操作权限：具有数据湖探索服务队列、数据的管理和使用权限。创建后，可通过ACL赋权给其他子用户使用。 作用范围：项目级服务。 系统角色