本文将为您介绍如何为弹性伸缩组添加负载均衡器。 操作场景 弹性负载均衡（CTELB ，Elastic Load Balancing）是一种分发和控制网络流量的服务，通过预先设定的算法将访问流量自动分发到多台云主机，扩展应用系统对外的服务能力，实现更高水平的应用系统容错性能。 弹性负载均衡可以通过流量分发扩展应用系统对外的服务能力，通过消除单点故障提升应用系统的可用性。若您需要使用弹性负载均衡提供的功能，请参考此章节为您的伸缩组添加负载均衡器。 选择启用负载均衡后，伸缩组中的云主机会自动挂载到您关联的负载均衡下。访问流量将按照分发策略自动分发到伸缩组内的所有弹性云主机。弹性伸缩只能添加已创建的负载均衡器，且弹性伸缩组和负载均衡器必须处于同一VPC内。如何创建负载均衡器请参见弹性负载均衡快速入门。 注意 一个伸缩组可最多添加10组负载均衡监听器。 操作步骤 创建伸缩组时，您可以在“负载均衡”配置项中选择启用，此时您需配置4个参数：负载均衡器、主机组、后端端口和权重。

本节主要介绍删除卷。 在“卷管理”页面，选择需要删除的卷，点击“操作”>“删除”，可以删除卷。 如果是克隆卷，还可以通过下列方法删除克隆卷：在“数据保护”>“快照管理”>“快照”页面，点击克隆卷关联的快照，进入快照详情页。在“克隆卷信息”区域，找到要删除的克隆卷，点击其“操作”列中的“删除”按钮，即可删除克隆卷。 说明 处于“已禁用”状态的卷才能被删除（3.9之前版本）。 对于上云卷，如果删除卷的时候未删除云上数据，后期可以使用卷还原功能进行卷数据还原。 删除卷时，应确保卷不包含快照、一致性快照。 如果卷状态为挂起、挂起中、挂起失败，即使选择同时删除云上数据和强制删除卷，也不能删除云上数据。 注意 对于上云卷，选择强制删除卷，且同时删除云上数据，可能会有云上数据残留，需要对云上数据进行手动删除。 如果卷存在关联克隆卷，且克隆卷未处于“删除中”或“断开链接中”状态，则禁止删除源卷。 如果卷有关联的快照或一致性快照，只能强制删除卷。强制删除卷时，将同时删除此卷的快照和一致性快照中的卷快照。同时也会产生数据残留风险，请谨慎操作。 图1 删除卷

参数 参数类型 说明 示例 下级对象 name String 任务名称 数据导出任务A taskID String 数据导出任务ID TASKtacd8b6b4610b97d202306301808 description String 任务描述 用于导出云主机7月份历史数据 deviceType String 本参数表示设备类型。取值范围： vm：云主机。 disk：云磁盘。 traffic：共享带宽。 eip：弹性IP。 根据以上范围取值。 vm deviceUUIDList Array of Strings 设备列表，为空代表该资源池下用户所有该类型设备列表 ['1234','5678'] itemNameList Array of Strings 待查的监控项名称，具体设备对应监控项参见 ['cpuutil','memutil'] aggregateType Array of Strings 本参数表示数据聚合类型。取值范围： raw：原始值。 avg：平均值。 max：最大值。 min：最小值。 根据以上范围取值。 ['avg'] startTime Integer 数据起始时间 1692812541 endTime Integer 数据截止时间 1692842541 period Integer 数据点间隔 3600 createTime Integer 创建时间,精确至毫秒 1692842341000 updateTime Integer 更新时间,精确至毫秒 1692842441000 status Integer 本参数表示任务状态码。取值范围： 0：待处理。 1：处理中。 2：已完成。 3：失败。 4：过期。 根据以上范围取值。 1 process Integer 百分比进度，当status为1时有意义，范围 0100 66 msg String 任务详情，可用于展示报错信息 导出数据失败，请重试 downloadUrl String 下载链接

本章节向您介绍如何开启“虚拟私有云（VPC）”连接的IPv6功能。 操作场景 如果您在企业路由器中添加“虚拟私有云（VPC）”连接的时候，未开启IPv6，那么可以参考本章节开启“虚拟私有云（VPC）”连接的IPv6功能。 开启IPv6后，您可以在ER路由表中添加IPv6路由，或者关联IPv6地址组。 操作步骤 步骤1：登录管理控制台，进入企业路由器主页面。 步骤2：通过名称过滤，快速找到待添加连接的企业路由器。 步骤3：您可以通过以下两种操作入口，进入企业路由器的“连接”页签。 在企业路由器右上角区域，单击“管理连接”。 单击企业路由器名称，并选择“连接”页签。 步骤4：在“连接”页签下，单击目标连接的名称超链接。 进入连接详情页面。 步骤5：单击“开启IPv6”参数后的开关按钮，开启IPv6功能。 如果开启IPv6成功，任务结束。 如果系统提示“由于VPC子网未开启IPv6，该连接开启IPv6失败，请开启子网的IPv6后重试”，请执行以下操作，先开启VPC子网的IPv6功能。 在连接详情页面，单击子网名称超链接。 进入子网详情页面。 单击“子网IPv6网段”参数后的“开启IPv6”按钮。 弹出确认对话框。 确认开启后，单击“是”，开启子网的IPv6功能。 返回连接详情页面，重新开启连接的IPv6功能。

功能特性 说明 SLA 99.95% 即开即用 您可以通过控制台实时创建目标实例，配合弹性云主机一起使用，通过弹性云主机内网连接文档数据库，有效地降低应用响应时间。通过本地设备访问实例时，可以为其绑定弹性IP，通过弹性IP连接文档数据库。 完全兼容 文档数据库服务是面向文档型的NoSQL数据库，完全兼容MongoDB协议。 可视化运维 控制台提供可视化实例管理平台，对实例重启、备份、数据恢复等高频需求实现一键式便捷操作。 数据安全 通过虚拟私有云、子网、安全组、存储加密、DDoS防护等多层安全防护体系，有力地抗击各种恶意攻击，保证数据安全。 支持细粒度权限控制。 高可用 集群和副本集支持高可用，一旦Primary节点发生故障导致节点不可用，即可在很短时间内切换到Secondary节点上，切换过程对应用透明。 指标监控 实时监控数据库实例及引擎的关键性能指标，包括CPU、内存使用率，磁盘利用率，command、delete、insert语句执行频率，活跃连接数等指标。 备份与恢复 支持设置自动备份策略和实时手动备份。其中，自动备份保留时长最多达到732天，实时手动备份长期保留。 支持通过备份文件进行数据恢复。 参数配置 控制台支持在线修改并生效配置参数，以及参数组配置管理功能。

本章节向您介绍什么是网络ACL。 网络ACL 网络ACL是一个子网级别的可选安全防护层，您可以在网络ACL中设置入方向和出方向规则，并将网络ACL绑定至子网，可以精准控制出入子网的流量。 网络ACL与安全组的防护范围不同，安全组对云主机、云容器、云数据库等实例进行防护，网络ACL对整个子网进行防护。安全组是必选的安全防护层，当您还想增加额外的安全防护层时，就可以启用网络ACL。两者结合起来，可以实现更精细、更复杂的安全访问控制。 网络ACL中包括入方向规则和出方向规则，您可以针对每条规则指定协议、来源端口和地址、目的端口和地址。 以下图为例， 如下图所示。 图 安全组与网络ACL在区域A内，某客户的虚拟私有云VPCX有两个子网，子网SubnetX01关联网络ACL FwA，SubnetX01内部署的实例面向互联网提供Web服务。子网SubnetX02关联网络ACL FwB，基于对等连接连通SubnetX02和SubnetY01的网络，通过SubnetY01内的实例远程登录SubnetX02内的实例。 FwA的规则说明： 入方向自定义规则，允许外部任意IP地址，通过TCP (HTTP)协议访问SubnetX01内实例的80端口。如果流量未匹配上自定义规则，则匹配默认规则，无法流入子网。 网络ACL是有状态的，允许入站请求的响应流量出站，不受规则限制，因此SubnetX01内实例的响应流量可流出子网。非响应流量的其他流量则匹配默认规则，无法流出子网。 FwB的规则说明： 入方向自定义规则，允许来自SubnetY01的流量，通过TCP (SSH)协议访问子网SubnetX02内实例的22端口。 出方向自定义规则，放通ICMP协议全部端口，当在SubnetX02内实例ping测试网络连通性时，允许去往SubnetY01的流量流出子网。 说明 图中提供的示例仅为您展示了网络ACL对出入子网的流量控制。在实际业务中，除了网络ACL，实例上绑定的安全组也会影响出入实例的流量。

本节主要介绍如何进行容量调整。 当用户认为文件系统的总容量不足或太大时，用户可以通过执行扩容或缩容操作来增加或者缩减文件系统的容量。容量调整规则如下： 增加容量规则：扩容后的文件系统的总容量 该文件系统已使用的容量。例如，云帐号B已创建文件系统SFS1，该文件系统的总容量为50TB，当前使用容量为10TB。当用户执行缩容操作时，设置的新容量数值不能小于10TB。 操作步骤 1、登录天翼云控制中心； 2、在产品列表中选择“弹性文件服务”； 3、在文件系统列表中，单击指定文件系统所在行的“容量调整”，弹出“容量调整”对话框； 4、根据业务需要，在“新容量”文本框中重新设置文件系统的容量，单击“确定”。具体设置要求如下表所示： 参数 说明 :: 当前容量(GB) 当前文件系统的容量。 新容量(GB) 扩容或缩容后文件系统的容量。取值范围： 输入值不能等于当前容量。 输入值是1~512000之间的整数。 5、在弹出对话框中确认容量调整信息后，单击“确定”； 6、在文件系统列表中查看文件系统调整后的容量信息。

操作场景 当需要使用SDRS服务时，需要在生产站点服务器安装代理客户端。 代理客户端将复制生产站点服务器的IO，并发送给容灾网关。 前提条件 代理客户端不能部署在云容灾网关服务器上。 为保障服务正常运行，需要确保端口未被占用，请参见附录中的“异步复制客户端的端口说明”。 如果待安装代理客户端的服务器的防火墙已开启，需要放通59526端口的访问。 云容灾网关和代理客户端建议放在同一安全组内，安全组配置为仅允许安全组内弹性云主机互通。 安装包准备步骤 基于安全考虑，SDRS服务将在首次安装时随机生成自签证书用于组件间认证。为保证通信正常，安装代理客户端时，需使用在网关节点上生成的携带证书的安装包。 说明 仅新安装客户端涉及以下安装包准备步骤。 如果云容灾网关存在已经签名的目标版本安装包，可直接使用该安装包安装，详见Linux安装代理客户端步骤。 1. 获取代理客户端软件包到网关服务器 的/opt/cloud目录，并比对软件包的sha256值，确保安装包完整性。 跨区域和跨可用区模式：在服务控制台页面选择生产站点服务器的操作系统及对应版本，复制页面提供的命令，登录到网关服务器，进入/opt/cloud目录，粘贴并执行命令获取软件包。 2. 执行以下命令，将网关节点上的证书打包生成新的Linux安装包和sha256文件： sh /opt/cloud/sdrs/createcerts.shl 3. 执行以下命令，将网关节点上的证书打包生成新的windows安装包和sha256文件： sh /opt/cloud/sdrs/createcerts.sh w 说明 打包windows安装包需要使用unzipzip命令，若回显中包含如下提示，需安装后再进行重试。 ...unzip not installed. 或者 ...zip not installed.

本小节介绍数据库安全背景信息。 背景信息说明 使用限制 购买数据库安全审计实例后，您需要将待审计的数据库添加到数据库安全审计实例中，并在数据库对应的数据库端或应用端安装Agent。当待审计的数据库连接到数据库安全审计实例后，数据库安全审计才能对待审计的数据库进行审计。 数据库安全审计支持对管理控制台上的云主机、物理机的自建数据库和RDS云数据库进行审计。 数据库安全审计支持数据库类型及版本为： MySQL 5.0、5.1、5.5、5.6、5.7 8.0 Oracle 11g 11.1.0.6.0 、11.2.0.1.0、11.2.0.2.0 12c 12.1.0.2.0 、12.2.0.1.0 PostgreSQL 7.4 8.0、8.1、8.2、8.3、8.4 9.0、9.1、9.2、9.3、9.4、9.5、9.6 10.0、10.1、10.2、10.3、10.4、10.5 11 快速配置流程 购买数据库安全审计后，您可以参照下图所示的配置流程，快速使用数据库安全审计。操作步骤的详细说明如下表所示。 步骤 配置操作 说明 1 步骤一：添加数据库并开启审计 购买数据库安全审计后，您需要先将待审计的数据库添加到数据库安全审计实例并开启该数据库的审计功能。 2 步骤二：添加Agent 添加的数据库开启审计功能后，您需要为添加的数据库选择Agent的添加方式。数据库安全审计支持对云上的物理机/云主机的自建数据库和RDS云数据库进行审计，请根据您在管理控制台上实际部署的数据库选择Agent添加方式。 3 步骤三：安装Agent 添加Agent后，您需要下载Agent，并根据Agent的添加方式在数据库端或应用端安装Agent，将添加的数据库连接到数据库安全审计实例，才能使用数据库安全审计功能。 4 查看审计总览信息 数据库安全审计默认提供一条“全审计规则”的审计范围，可以对连接数据库安全审计实例的所有数据库进行审计。安装Agent后，您可以在数据库安全审计界面查看被添加的数据库的审计结果。

操作流程 下面以如何开通相关服务、配置并使用极速缓存 HPKV 为例，介绍其整体入门流程： 1. 准备阶段 ：完成注册、实名认证与服务开通后，可通过新建工单，在问题描述中填写：并行文件服务 HPFS，申请试用 HPKV 服务。 2. 部署阶段：开通 GPU 物理机 → 创建云容器引擎集群 → 创建并挂载 HPFS → 部署 HPKV 模板。 3. 验证阶段：检查状态 → 获取访问地址 → 发送测试请求验证功能。 4. 使用阶段：开始业务推理，获得 HPKV 带来的性能提升。 详细操作请参见：云容器引擎部署 HPKV 指南。

参数 参数类型 是否必填 示例 说明 下级对象 deviceType String 否 vm 本参数表示设备类型。默认值为所有类型。取值范围：vm：云主机。baremetal：裸金属。disk：云磁盘。scaling：弹性伸缩。traffic：共享带宽。eip：弹性IP。elb：负载均衡。listener：监听器。cstorsfs：弹性文件。sitemonitor：站点监控。natgw：NAT网关。zosbucket：对象存储存储桶。zosuser：对象存储用户。vnetmonitorendpointstatistic：VPC终端节点。vnetendpointservicestatistic：VPC终端节点服务。根据以上范围取值。

参 数 说明 取值样例 域名 内网域名，可以自定义，支持创建顶级域，但需符合域名命名规范：由多个以点分隔的字符串组成,可包含字母、数字中划线，中划线不能在开头或末尾，单个字符串不超过63个字符，域名总长度不超过254个字符。 example.com VPC 内网域名关联的VPC，只有此VPC中的云主机才能解析创建的内网域名。 选择一个VPC。如果选框为空，请前往 描述 可选参数，域名描述。

本章节介绍如何在服务网格中使用本地限流 前提条件 1. 已开通云容器引擎，至少有一个云容器引擎集群实例。产品入口：云容器引擎。 2. 开通天翼云服务网格实例。 操作步骤 我们以bookinfo应用为例演示本地限流能力，首先在default命名空间部署bookinfo应用。 然后在default命名空间部署针对productpage服务的限流策略，token数量最大为5，每2秒重新填充5个token： apiVersion: istio.ctyun.cn/v1beta1 kind: LocalRateLimiter metadata: name: productpagelimit spec: workloadSelector: 匹配工作负载 labels: app: productpage context: SIDECARINBOUND statPrefix: httplocalratelimiter configs: name: productpage routeConfig: vhost: name: 'inboundhttp9080' rateLimitConfig: tokenBucket: maxTokens: 5 tokensPerFill: 5 fillInterval: 2s filterEnabled: runtimeKey: localratelimitenabled defaultValue: numerator: 100 denominator: HUNDRED filterEnforced: runtimeKey: localratelimitenforced defaultValue: numerator: 100 denominator: HUNDRED responseHeadersToAdd: appendAction: OVERWRITEIFEXISTSORADD header: key: xlocalratelimit value: 'true' 我们使用gostresstesting工具验证效果，如下图所示，结果状态码中有200和429（请求被限流）；200的个数每2秒增加5个，符合我们设定的2秒重新填充5个token的设定；429状态码在持续增加。 单独请求productpage服务可以看到请求被限流的情况：

本章介绍函数工作流如何配置网络。 访问公网 函数创建成功后，默认具有公网访问权限，即函数可直接访问公网上的服务。函数访问公网上的服务需要固定公网出口IP的场景（例如被访问服务需要白名单验证），可以通过开启VPC，在VPC内配置NAT网关绑定EIP的方式实现。 访问VPC 函数支持用户创建虚拟私有云（VPC）并访问自己VPC内的资源。VPC开启后，函数不再具有默认的公网访问权限，如果需要访问公网，可通过在VPC内配置NAT网关绑定EIP的方式实现。 相关权限 配置委托权限请参见配置委托权限。 操作步骤 1. 登录函数工作流控制台，在左侧的导航栏选择“函数 > 函数列表”。 2. 选择待配置的函数，单击进入函数详情页。 3. 选择“设置 > VPC”，开启VPC，配置VPC和子网 配置VPC 4. 配置域名（可选）：如果函数需要通过内网域名访问VPC内的服务，可配置和VPC绑定的域名，域名可以配置多个。 5. 开启IPv6（可选）。 1. 创建虚拟私有云，确保默认子网配置中支持开启IPv6，具体详情请参见《虚拟私有云服务》的“开启/关闭虚拟私有云IPv6”章节。 2. 在步骤3的“VPC”和“子网”中选择已开启IPv6的VPC和子网。 6. 配置完成后单击“保存”。 配置固定公网IP 函数需要在VPC内访问公网或者需要固定公网IP的场景，可以选择给VPC添加NAT网关并绑定EIP的方式。

本章节主要介绍如何创建自定义拓扑集群。 MRS当前提供的“分析集群”、“流式集群”和“混合集群”采用固定模板进行部署集群的进程，无法满足用户自定义部署管理角色和控制角色在集群节点中的需求。如需自定义集群部署方式，可在创建集群时的“集群类型”选择“自定义”，实现用户自主定义集群的进程实例在集群节点中的部署方式。仅MRS 3.x及之后版本支持创建自定义拓扑集群。 自定义集群可实现以下功能： 管控分离部署，管理角色和控制角色分别部署在不同的Master节点中。 管控合设部署，管理角色和控制角色共同部署在Master节点中。 ZooKeeper单独节点部署，增加可靠性。 组件分开部署，避免资源争抢。 MRS集群中角色类型： 管理角色：Management Node(MN)，安装Manager，即MRS集群的管理系统，提供统一的访问入口。Manager对部署在集群中的节点及服务进行集中管理。 控制角色：Control Node(CN)，控制监控数据角色执行存储数据、接收数据、发送进程状态及完成控制节点的公共功能。 MRS的控制节点包括HMaster、HiveServer、ResourceManager、NameNode、JournalNode、SlapdServer等。 数据角色：Data Node(DN)，执行管理角色发出的指示，上报任务状态、存储数据，以及执行数据节点的公共功能。MRS的数据节点包括DataNode、RegionServer、NodeManager等。 创建自定义集群 1.登录MRS管理控制台。 2.单击“创建集群”，进入“创建集群”页面。 3.在创建集群页面，选择“自定义创建”页签。 4.参考下列参数说明配置集群软件信息，参数详细信息请参考创建自定义集群章节中的MRS集群软件配置表。 区域：默认即可。 集群名称：可以设置为系统默认名称，但为了区分和记忆，建议带上项目拼音缩写或者日期等。例如：“mrs20180321”。 集群版本：目前仅MRS 3.x版本支持。 集群类型：选择“自定义”并根据需要勾选对应组件。 5.单击“下一步”，并配置硬件信息。 可用区：默认即可。 虚拟私有云：默认即可。如果没有虚拟私有云，请单击“查看虚拟私有云”进入虚拟私有云，创建一个新的虚拟私有云。 子网：默认即可。 安全组：选择“自动创建”。 弹性公网IP：选择“暂不绑定”。 CPU架构：默认即可。MRS 3.x版本无该参数。 常用模板：具体说明请参见下方“自定义集群模板说明”。 实例规格：单击配置实例规格、系统盘和数据盘存储类型和存储空间。 实例数量：请根据业务量调整集群实例数量。具体可参考下方“MRS自定义集群节点部署方案”。 拓扑调整：若常用模板中的部署方式不满足需求或者需要手动安装部分默认安装不部署的实例或者需要手动安装部分实例时，请设置“拓扑调整”为“开启”，然后根据业务需要调整实例部署方式，具体说明请参见下方“自定义集群拓扑调整说明”。 6.单击“下一步”进入高级配置页签。 参数说明请参见创建自定义集群章节中的“高级配置（可选）”。 7.单击“立即创建”。 当集群开启Kerberos认证时，需要确认是否需要开启Kerberos认证，若确认开启请单击“继续”，若无需开启Kerberos认证请单击“返回”关闭Kerberos认证后再创建集群。 8.单击“返回集群列表”，可以查看到集群创建的状态。 集群创建需要时间，所创集群的初始状态为“启动中”，创建成功后状态更新为“运行中”，请您耐心等待。

本节介绍云等保专区产品的功能特性。 云安全中心 云安全中心系统主要包含安全态势、资产中心、风险管理、威胁管理、分析中心、告警管理、编排响应、报表中心、集成配置以及数据源监控等功能。 主机安全 为云服务器提供基于客户端的防护，提供主机系统防护与加固、主机网络防护与加固等功能，具备业界领先的勒索专防专杀、网页防篡改、网络隔离与防护、补丁修复、外设管控、文件审计、违规外联检测与阻断等主机安全能力，帮您快速发现网站潜在安全隐患。 Web应用防火墙 精准覆盖各类Web应用攻击，为客户识别恶意请求，防御未知威胁，分钟级接入实现防入侵、防扫描、防攻击、防数据泄露、防CC攻击等防护，等保必备。 下一代防火墙 提供云上互联网边界和VPC边界的防护，包括：实时入侵检测与防御、全局统一访问控制、全流量分析可视化、日志审计与溯源分析。 堡垒机 4A统一安全管控平台，为企业提供集单点登录、统一资产管理、多终端访问协议、文件传输、会话协同等功能于一体的运维管理服务。 漏洞扫描 能够对Web应用的资产进行识别分类以及对Web应用进行深度弱点探测。通过漏洞产生的原理和渗透测试的方法，快速分析出被测目标所开放的端口服务和对应的协议信息，发现资产暴露面。漏洞库覆盖国内外常见CMS、中间件、操作系统等严重漏洞，帮助用户全面分析Web应用网络环境中存在的安全弱点。

云原生API网关产品服务协议详情请参见这里

主要介绍翼MapReduce服务的产品规格。 通用计算型 规格名称 核数 内存 ::: s3.4xlarge.4 16核 64GB 通用计算增强型 规格名称 核数 内存 ::: c6.2xlarge.4 8核 32GB c6.4xlarge.4 16核 64GB c6.8xlarge.4 32核 128GB c6.16xlarge.4 64核 256GB c6s.4xlarge.2 16核 32GB c6s.4xlarge.4 16核 64GB c6s.8xlarge.4 32核 128GB c6s.16xlarge.4 64核 256GB c7n.4xlarge.4 16核 64GB c7n.6xlarge.4 24核 96GB c7n.8xlarge.4 32核 128GB c7n.12xlarge.4 48核 192GB c7n.16xlarge.4 64核 256GB c7n.24xlarge.4 96核 384GB 内存优化型 规格名称 核数 内存 ::: m6.2xlarge.8 8核 64GB m6.3xlarge.8 12核 96GB m6.4xlarge.8 16核 128GB m6.6xlarge.8 24核 192GB m6.8xlarge.8 32核 256GB m6.16xlarge.8 64核 512GB

资源 数量 云容器引擎CCE 1 API网关专享版实例 1

keytab keytab 是一种用于在Kerberos 认证系统中存储主体（principal）的密钥信息的文件，包含principals和加密principal key，用于在不需要用户输入密码的情况下进行身份验证。每个密钥条目在keytab 文件中通常由以下部分组成： 主体名称：明确标识该密钥所属的主体，例如“service/host.example.com@exp.com”。 加密类型：指示用于加密密钥的算法，常见的有 AES、DES 等。 密钥值：实际的加密密钥数据。 keytab文件对于每个host是唯一的，因为key中包含hostname。由于服务器上可以访问Keytab文件即可以用principal的身份通过Kerberos的认证，所以keytab文件应该被妥善保存，确保只有少数必要用户可以访问。 服务实例 在AD域中，服务实例指的是一个特定的服务运行在特定计算机或服务器上的单个实例。服务实例通常与特定的服务账号相关联，用于管理服务的权限和身份验证。服务实例在AD中是通过服务主体名称（Service Principal Name，SPN）来标识的。 服务主体SPN 在AD域中，服务主体（Service Principal Name，SPN）用于标志一个服务实例。SPN的作用在于Kerberos身份验证过程中，将服务实例与服务登录帐户相关联。当客户端需要访问某个服务时，它会使用SPN来查询和验证服务的身份。在AD域中，服务可以运行在不同的主机上，而一个主机上也可以运行多个服务。SPN的格式包括服务类型和主机名或域名，客户端通过SPN访问某个服务实例。 工作原理 天翼云提供基于Kerberos协议的认证鉴权方式，将用户加入到AD域中，域控制器通过秘钥表（keytab）授权成员访问弹性文件服务。用户认证及访问鉴权流程如下： 1. 管理员在域控制器上生成keytab文件，详见 2. 在天翼云控制台为目标文件系统开启AD域功能，并将keytab文件上传，具体操作见加入AD域。 3. 文件服务器保存用户通过控制台上传的keytab文件，用于后续AD域内客户端认证和鉴权。 4. 用户通过AD域内云主机发起访问CIFS文件系统请求。 5. 文件服务器通过查询向云主机返回是否支持Kerberos协议鉴权。 6. 云主机向AD域控制器发起用户认证，Kerberos对用户信息进行加密。 7. 域控制器向云主机返回加密后的用户信息。 8. 云主机将用户加密信息发送给文件服务器。 9. 文件服务器根据用户上传的Keytab文件解密用户信息。 10. 认证通过后，文件服务器根据解密所得的用户权限信息提供访问服务。

本章介绍关系型数据库包年包月的收费模式。 1、收费方式 （1）预付费方式：用户需先登录天翼云用户中心进行充值，系统会根据用户选购的实际资源对用户云账户中的金额进行扣除。 （2）计费周期：按月计费，以自然月为计费单位。 2 、升级规则 关系型数据库升级时间不满整月的，升级后配置按当月实际发生天数计费。 3 、续订规则 续订数据库，续费按原订购模式按月方式进行续费。 4 、退订规则 退订云数据库，不满整月的按当月实际发生天数收取费用。 退订云数据库后实例会进入冻结状态，冻结周期为15天，冻结期过后如不续费会删除实例。 5 、提醒/通知规则 （1）到期通知：服务到期前7天、3天邮件通知，到期前1天、当天邮件通知和短信提醒。 （2）超期通知：服务超期1天邮件通知，超期3天、7天邮件通知和短信提醒。

本章主要介绍翼MapReduce的修改OMS数据库访问用户密码功能。 操作场景 建议管理员定期修改OMS数据库访问用户的密码，以提升系统运维安全性。 对系统的影响 修改密码需要重启OMS服务，服务在重启时系统无法访问。 操作步骤 1.在FusionInsight Manager选择“系统 > OMS > gaussDB > 修改密码”。 2.在omm用户所在行，单击“操作”列下的“修改密码”。 3.在弹出窗口中输入当前登录的用户密码确认身份，单击“确定”。 4.根据界面信息，输入新旧密码。 密码复杂度要求： 密码字符长度为8～32位。 至少需要包含大写字母、小写字母、数字、特殊字符~!@$%^&()+[{}];", /?中的3种类型字符。 不可和用户名相同或用户名的倒序字符相同。 不可与前20个历史密码相同。 5.单击“确定”，等待界面提示操作成功。 6.在omm用户所在行，单击“操作”列下的“重启OMS服务”。 7.在弹出窗口中输入当前登录的用户密码确认身份，单击“确定”。 8.在确定重启的对话框中，单击“确定”，重新启动OMS服务。

本章节主要介绍翼MapReduce服务查看并导出检查报告。 操作场景 为了满足对健康检查结果的进一步具体分析，您可以在MRS Manager中查看以及导出健康检查的结果。 说明 系统健康检查的范围包含Manager、服务级别和主机级别的健康检查： Manager关注集群统一管理平台是否提供管理功能。 服务级别关注组件是否能够提供正常的服务。 主机级别关注主机的一系列指标是否正常。 系统健康检查可以包含三方面检查项：各检查对象的“健康状态”、相关的告警和自定义的监控指标，检查结果并不能等同于界面上显示的“健康状态”。 前提条件 已执行健康检查。 操作步骤 单击“服务管理”。 1.选择“更多 > 查看集群健康检查报告”，查看集群健康检查的报告。 2.在健康检查的报告面板上单击“导出报告”导出健康检查报告，可查看检查项的完整信息。 说明 对于存在问题的检查项，请参见

专属云Kafka包括2个计费项：专属计费资源、专属存储（可选）。

本章节主要介绍翼MapReduce的删除租户操作。 操作场景 根据业务需求，对于当前不再使用的租户，管理员可以通过FusionInsight Manager删除租户，释放租户占用的资源。 前提条件 已添加租户。 检查待删除的租户是否存在子租户，如果存在，需要先删除全部子租户，否则无法删除当前租户。 待删除租户的角色，不能与任何一个用户或者用户组存在关联关系。 操作步骤 1. 登录FusionInsight Manager，单击“租户资源”。 2. 在左侧租户列表，选择待删除的租户，单击。 说明 根据业务需求，需要保留租户已有的数据时请同时勾选“保留该租户资源的数据。”，否则将自动删除租户对应的存储空间。 3. 单击“确定”，删除租户。 保存配置需要等待一段时间，租户成功删除。租户对应的角色、存储空间将删除。 说明 租户删除后，Yarn中对应的租户任务队列不会被删除。同时Yarn角色管理中，此租户任务队列不再显示。

本章节主要介绍翼MapReduce的初始化用户密码操作。 操作场景 用户如果遗忘密码或公共帐号密码需要定期修改时，管理员可通过FusionInsight Manager初始化密码。初始化密码后系统用户首次使用帐号需要修改密码。 说明 此操作仅支持“人机”用户。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“系统 > 权限 > 用户”。 3. 在要初始化密码用户所在行，选择“更多 > 初始化密码”。在弹出窗口中输入当前登录的管理员用户密码确认身份，单击“确定”，在确认对话框单击“确定”。 4. 填写“新密码”和“确认新密码”，单击“确定”。 默认密码复杂度要求： 密码字符长度最小为8位。 至少需要包含大写字母、小写字母、数字、空格、特殊字符5种类型字符中的4种。支持的特殊字符为~!@$%^&()+[{}];', /? 。 不可和用户名相同或用户名的倒序字符相同。 不可以为常见的易破解密码。 不可与最近N次使用过的密码相同，N为配置密码策略中“重复使用规则”的值。

本章节主要介绍翼MapReduce的趋势操作。 选择“主机 > 资源概况 > 趋势”，可查看所有集群或者单个集群的资源趋势监控页面，如下图所示。默认显示1小时的监控数据。用户可单击自定义时间区间，缺省时间区间包括：1小时、2小时、6小时、12小时、1天、1周、1月。各指标趋势图默认显示整个集群的最大值、最小值、平均值。 详见下图：资源趋势 单击“为图表添加主机”，可在定制显示的趋势指标图中，添加个别节点的指标趋势线，最多可添加12个主机。 单击，选择“定制”，可以自定义需要在页面上显示的指标项，详细指标项参考分布中的表。 选择“导出数据”，可以导出集群中所有节点，在所有选中的指标项下，选中时间范围内的最大值、最小值、平均值。

背景信息 当出现实例网络异常或者实例状态异常等情况时，文件上传会呈现不同的执行状态与执行结果。您可以通过控制台或API查看执行结果中的错误信息、诊断并修复问题。 操作步骤 1. 登录 弹性云主机控制台 或 物理机控制台 ，选择左侧导航栏中的运维工具。 2. 展开运维工具下云助手标签页，选择执行记录标签页，如下图所示： 3. 选择需要查看的文件上传结果，点击右侧查看按钮，可查看执行列表、执行信息，如下图所示： 4. 点击实例名称左侧的箭头可以查看文件上传的输出信息或上传失败的报错信息。

本节介绍了python升级导致Cloudinit不工作的问题描述、可能原因、处理方法。 问题描述 以CentOS 6.8镜像的弹性云主机为例，将python从python 2.6升级到python 2.7版本后，可能会引起Cloudinit不工作，具体表现为：弹性云主机的密码、密钥、hostname等信息无法通过Cloudinit注入。 执行命令 cloudinit v 查询Cloudinit的版本，回显报错，如下图所示。 图 Cloudinit运行异常 可能原因 Cloudinit使用的python版本不正确。 处理方法 将Cloudinit使用的python版本修改为升级前版本，即将/usr/bin/cloudinit环境变量从默认的“!/usr/bin/python”修改为升级前的“!/usr/bin/python2.6”路径。 图 修改python版本

本文将为您介绍如何来修改备份策略。 操作场景 当您的备份策略无法满足您的自动备份需求时，您可以选择修改备份策略。 前提条件 已创建至少一个备份策略。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域。 3. 单击“存储>云硬盘备份”，单击“备份策略”，进入云硬盘备份策略页签。 4. 在待修改备份策略所在行单击“操作>修改”。 5. 在“编辑备份策略”窗口进行修改，单击“确定”完成修改。各参数含义请参见创建备份策略。 注意 调整备份策略后，将按照新策略中的保留规则对绑定磁盘的自动备份副本执行过期删除操作，磁盘的手动备份副本不执行备份策略的保留规则。

本文将为您介绍如何向备份策略中绑定存储库。 操作场景 创建备份策略后，用户可在备份策略中绑定存储库，将备份策略关联到目标存储库中。 前提条件 已创建至少1个备份策略。 已创建至少1个存储库。 该备份策略未绑定其他存储库。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域。 3. 单击“存储>云硬盘备份”，单击“备份策略”，进入云硬盘备份策略页签。 4. 单击待绑定存储库的备份策略“操作”列的“绑定存储库”。 5. 在弹出的“绑定存储库”弹窗中，勾选需要绑定的存储库，点击“确定”，即可成功为备份策略绑定存储库。

本节介绍如何为Web应用防火墙绑定弹性IP。 将用户业务弹性公网IP绑定在Web应用防火墙业务网卡上，从而将用户业务流量接入Web应用防火墙。 操作步骤 1. 登录云等保专区控制台。 2. 在左侧导航栏，选择“Web应用防火墙”，进入云等保专区的Web应用防火墙资源页面。 3. 在目标资源的操作列，单击“绑定弹性IP”，为资源绑定弹性IP。 4. 在弹出的“绑定弹性IP”窗口中，通过“弹性网卡”下拉框中选择一个网卡，在下方列表中选择一个弹性公网IP地址。 若没有可绑定的弹性IP，单击“配置弹性IP”，进入创建弹性IP页面，创建一个新的弹性IP地址。 5. 选择完成后，单击“确定”，完成绑定。