操作步骤 1. 登录天翼云控制中心。 2. 在控制中心页面顶部选择区域。 3. 在页面左侧导航栏单击“产品服务列表”图标，选择“安全 > 云等保专区”。 4. 在“资源概览”中找到需要升配的资源，点击操作列的“升配”。 5. 在升配页面中，选择套餐产品购买的规格/版本，规格详细说明请参见产品版本规格。 6. 确认配置信息无误后，阅读《云等保专区服务协议》并勾选“我已阅读，理解并接受《云等保专区服务协议》”，点击“确认”进行升配。

订购、续订、变更和退订操作都需要客户联系专属客户经理，如果没有专属客户经理，可拨打天翼云客服电话4008109889咨询。还可以访问天翼云官网专属云（计算独享型）产品介绍页面，点击“申请开通”按钮，填写业务需求单，客服人员会及时与您联系。 本产品不支持无理由退订。

本文详细介绍边缘接入套餐资费。 套餐说明 AOne边缘接入服务套餐分为基础版、定制版。其中，您可以通过官网开通基础版套餐，定制版套餐不支持官网开通，若有需要可通过提交工单或拨打4008109889热线电话联系客服进行咨询。 套餐规格 套餐内容 生效区域 标准价格（元/月） 基础版 应用加速域名：1个 端口数：5个 流量：1TB DDoS防护：40Gbps/月（防护1次） 中国内地 2000 基础版 应用加速域名：1个 端口数：5个 流量：500GB DDoS防护：平台级尽力防 全球（不含中国内地） 3000 基础版 应用加速域名：1个 端口数：5个 流量：中国内地250GB，全球（不含中国内地）250GB DDoS防护：中国内地40Gbps/月（防护1次），全球（不含中国内地）平台级尽力防 全球 3400 定制版 定制版选配场景： 加速区域+计费方式（流量） + 定制版收费项 中国内地、全球（不含中国内地）、全球 —— 生效区域说明 当前套餐内应用加速支持中国内地、全球（不含中国内地）、全球生效。

本章节主要介绍同一节点配置多块数据盘场景的服务配置修改建议。 操作场景 创建翼MapReduce集群、新增节点组以及扩容节点时，用户可以为节点配置多块数据盘，但组件配置中默认是1块。如需使用多块数据盘，需要用户将配置目录中的信息改为多块，详细操作方法请参见下述信息。 说明 该能力适用于2.15.2～2.18.0翼MapReduce版本。 操作步骤 1、默认的配置文件 1）HDFS 配置文件：hdfssite.xml plaintext dfs.namenode.name.dir /data01/hadoop/hdfs/namenode namenode元数据存放位置 dfs.datanode.data.dir /data01/hdfs 设置datanode节点存储数据文件的本地路径 dfs.datanode.failed.volumes.tolerated 0 决定停止数据节点提供服务允许卷的出错次数, 0则表示任务卷出错都要停止数据节点 dfs.journalnode.edits.dir /data01/hadoop/hdfs/journal 存储journalnode edit文件的目录 2）YARN 配置文件：yarnsite.xml plaintext yarn.nodemanager.logdirs /data01/hadoop/yarn/log Nodemanager本地数据盘日志存储目录, 使用逗号分隔, 一般个数与{nmlocaldirs}对应 yarn.nodemanager.localdirs /data01/hadoop/yarn/local Nodemanager本地数据盘存储目录, 使用逗号分隔 配置文件：mapredsite.xml plaintext mapreduce.jobhistory.recovery.store.leveldb.path /data01/hadoop/mapreduce/jhs Jobhistory恢复信息本地存储路径

本节介绍服务器安全卫士（原生版）服务等级协议。 请参见服务器安全卫士（原生版）服务等级协议。

版本差异 标准版 和专业版的基础功能均支持身份认证、权限控制、账户管理、操作审计，主要功能差异为自动化运维、数据库运维审计两个增强功能。 详细版本功能差异： 功能项 功能说明 标准版 专业版 :::::::: 身份认证 用户账号双因子认证 支持手机令牌、手机短信、USBKey、动态令牌等多因子认证形式。 √ √ 身份认证 用户账号远程认证 支持AD域、RADIUS、LDAP、Azure AD远程认证。 √ √ 权限控制 系统访问权限 通过划分组织部分结构、分配用户角色、设置用户登录限制，控制用户登录和访问系统权限。 √ √ 权限控制 资源访问权限 按照用户、用户组、资源账户、账户组，建立用户对资源的访问控制授权，通过配置访问控制策略、双人授权、命令控制策略，实现对资源不同维度的控制。 √ √ 权限控制 双人授权 通过配置“双人授权”实现双人或多人权限审核，保障核心资源安全。 √ √ 权限控制 字符命令拦截 通过配置命令控制策略，对字符协议资源关键操作，进行动态授权。 √ √ 权限控制 数据库命令拦截 通过配置数据库控制策略，对数据库资源敏感、危险等操作，进行精确限制、二次复核。 说明：数据库命令拦截功能不区分云数据库还是自建的数据库。 × √ 账户管理 用户账号全生命周期管理 用户账号单个创建、批量导入、批量管理，以及划分用户组管理。 √ √ 账户管理 资源账户全生命周期管理 资源和资源账户的单个添加、批量导入、批量管理，以及资源账户的划分账户组管理。 √ √ 账户管理 纳管主机资源 支持纳管SSH、RDP、VNC、TELNET、FTP、SFTP、Rlogin协议类型的Linux和Windows资源。 √ √ 账户管理 纳管应用资源 支持通过Windows应用服务器，纳管Chrome、Edge、Firefox、Oracle Tool 、MySQL等浏览器或客户端应用资源。 √ √ 账户管理 纳管数据库资源 支持纳管DB2、MySQL、SQL Server和Oracle引擎类型数据库。 × √ 账户管理 资源账户自动改密 通过配置改密策略，定期修改资源账户密码，管控资源账户及登录密码。 √ √ 账户管理 资源账户自动同步 通过配置账户同步策略，及时发现僵尸账户或未被管控账户。 × √ 操作审计 系统登录和操作全程记录 支持导出系统日志、生成系统报表，以及配置告警通知。 √ √ 操作审计 资源运维操作全程审计 支持多种审计技术和审计形式，会话实时监控，历史会话可生成视频、导出文本报表的双重审计，并支持日志远程备份。 √ √ 操作审计 数据库行为审计 基于操作命令审计数据库运维全程。 × √ 高效运维 Web浏览器一站式运维 远程登录资源，无需安装客户端，一键登录运维资源，并集成批量登录、协同会话、文件传输、命令群发等功能。 √ √ 高效运维 第三方客户端运维 一键接入多种运维工具，支持多种运维形式，包括SSH客户端运维、FTP/SFTP客户端运维等。 √ √ 高效运维 数据库运维 通过SSO单点登录工具调用客户端，一键登录目标数据库。 × √ 高效运维 自动化运维 在线管理脚本，以及定时执行预置运维任务。 × √ 工单申请 访问授权工单、命令授权工单申请 系统用户为获取资源控制权限，通过手动或自动方式触发系统工单，提交工单给系统管理人员审批，获取权限的全程。 √ √ 工单申请 数据库授权工单申请 系统用户可触发数据库敏感操作，自动生成授权工单，系统用户需提交工单申请，由管理人员审批通过才能获取继续操作权限。 × √

本节介绍天翼量子AI云电脑电脑客户端登录的相关操作。 1. 扫码登录 登录页扫码登录，支持通过天翼云电脑APP、翼连、微信扫码登录，扫码成功并点击确认，即可登录AI云电脑客户端。 2. 账号登录 登录页账号登录，支持AI云电脑账号，手机号码和邮箱登录（手机号码或邮箱登录的前提是用户已绑定手机或邮箱）。 3. 自动登录 （1）账密登录：用户输入账号密码，勾选“自动登录”登录成功后，下一次启动客户端将自动登录； （2）扫码登录：勾选“自动登录”，扫码登录成功后，下一次启动客户端将自动登录。 4. 记住密码 账号登录时，输入密码后，点击“记住密码”功能，下次登录无需重复输入登录密码。 5. 忘记密码 点击“忘记密码“，可通过手机短信验证码、邮箱验证码两种方式找回密码。 通过手机短信验证码方式找回密码。 通过邮箱验证方式找回密码。 6.

删除规则 删除云主机时，云主机的CPU、内存、GPU的费用停止计费，其他未删除的关联资源继续计费。 云主机删除后，数据不会保留，会立即释放资源。 账户欠费 如用户账户出现欠费，账户一旦充值，系统将会自动优先扣除欠费金额。 提醒/通知规则 提醒及通知方式：邮件、短信、站内信。 充值成功通知：当用户充值成功后，会发送1次充值成功通知。 余额不足通知：当用户账户余额不足100元，或不足以支付当前所有按量资源1天费用时，会发送1次余额不足提醒。 账户欠费通知：当用户欠费时，会向用户发送1次欠费提醒。 资源销毁通知：当用户的云主机销毁后，会向用户发送1次销毁通知。

本节介绍网页防篡改（原生版）服务等级协议。 请参见网页防篡改（原生版）服务等级协议。

本节介绍了应用管理服务的最佳实践介绍。 通过应用市场的应用推送功能，管理员可以一键分发应用到天翼AI云电脑（政企版）中，实现快速部署的效果，还可以通过应用卸载的功能处理员工误装的风险应用。 应用推送功能，可以将应用（支持安装程序和压缩包）推送并安装至指定桌面。管理员在应用列表中选中某个“上架中”状态中的应用，点击右侧的“更多”“推送”，并根据需求配置推送规则，即可完成推送。 应用卸载功能，管理员可操作指定桌面上报已装应用信息，可选择并卸载应用。支持静默卸载的应用将直接卸载，不支持静默卸载的应用则显示卸载弹窗让用户手动卸载。 前提条件 已开通天翼AI云电脑（政企版），详情请参见快速订购AI云电脑。 已开通应用市场，详情请参见开通应用市场。 注意事项 为了保证应用推送与卸载功能的正常使用，在使用之前，请您务必认真阅读应用推送与卸载的功能介绍。详情请参见应用推送与卸载。 应用场景说明 企业管理员需要为多台员工使用的AI云电脑进行应用统一部署时，可使用应用推送功能一键下发应用安装指令，如学校统一安装教学软件等场景；企业管理员需要定期检查员工AI云电脑中是否有安装违规应用，可使用应用卸载功能一键下发应用卸载指令，如银行定期清理病毒和流氓软件等场景。

本节主要介绍创建用户并授权使用DDS 如果您需要对您所拥有的DDS进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），通过IAM，您可以： 根据企业的业务组织，在您的天翼云账号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用DDS资源。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将DDS资源委托给更专业、高效的其他天翼云账号或者云服务，这些账号或者云服务可以根据权限进行代运维。 如果天翼云账号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用DDS服务的其它功能。 本章节为您介绍对用户授权的方法，操作流程如下图所示。 前提条件 给用户组授权之前，请您了解用户组可以添加的DDS权限，并结合实际需求进行选择，DDS支持的系统权限，请参见：DDS系统权限。 示例流程 图 给用户授权DDS权限流程 1. 创建用户组并授权 在IAM控制台创建用户组，并授予DDS权限“DDS FullAccess”。 说明 如果需要使用到对接其他服务的一些功能时，除了需要配置“DDS FullAccess”权限外，还需要配置对应服务的权限。 例如：使用DAS连接实例时，除了需要配置“DDS FullAccess”权限外，您还需要配置数据管理服务“DAS FullAccess”权限后，才可正常使用DAS登录数据库实例。 2. 创建用户并加入用户组 在IAM控制台创建用户，并将其加入[1](

接口功能介绍 根据id查询基线策略详情 接口约束 此功能为收费功能。确认已经购买系统配额，并且开启基线扫描配置。如果没有购买配额，可按照页面提示进行购买。如果没有开启防护，请在服务器列表页开启机器防护 URI GET /v1/sca/rule/query/detail/ 路径参数 参数 是否必填 参数类型 说明 示例 下级对象 scaRuleId 是 Integer Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 无 响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Object 返回对象 returnObj traceId String traceId asaadasd11111 statusCode String 状态码 200成功 200 表 returnObj 参数 参数类型 说明 示例 下级对象 id Integer 基线策略id 1 name String 基线策略名称 策略1 checkfrequency Integer 检测频率 1 checktime String 扫描时间,01:0002:00代表再每checkfrequency天01:0002:00之间进行扫描 01:0002:00 description String 描述 描述 isDefault Boolean 是否是默认策略 true是 false否 true createtime String 创建时间 20200101 00:00:00 ruleStatus Boolean 策略状态 true启用 false禁用 true hostCount Integer 检测服务器数量 1 scarulesHostsDtoList Array of Objects 检测主机列表 scarulesHostsDtoList scarulesScaDtoList Array of Objects 检测模板列表 scarulesScaDtoList scope String 生效范围 OPTIONAL自选机器 ALL所有机器 OPTIONAL 表 scarulesScaDtoList 参数 参数类型 说明 示例 下级对象 scaruleid Integer 基线策略id 1 scaid Integer 基线模板id 1 createtime String 创建时间 20200101 00:00:00 type String 基线模板类型 CTYUNSTANDARD天翼云标准 CIS国际标准 CTYUNSTANDARD 表 scarulesHostsDtoList 参数 参数类型 说明 示例 下级对象 scaruleid Integer 基线策略id 1 agentguid String agentguid guid1 createtime String 创建时间 20200101 00:00:00

本文档提供了天翼云轻量型云主机API的描述、语法、参数说明及示例，可用资源池等内容。 现已支持的资源池 贵州3 华南2 华北2 西南1 长沙42 庆阳2 太原4 杭州2

本文介绍产品订购开通后如何变更加速区域。 背景说明 1. 本文档介绍的加速区域变更，是指CDN加速产品开通中的加速区域变更，非CDN控制台域名管理中的加速区域变更，两者是独立的变更操作关系。 2. CDN控制台域名管理中的加速区域选择全球（不含中国内地）或全球，均需同时开通CDN加速产品的中国内地和全球（不含中国内地）加速区域。 变更说明 加速区域变更的场景如下： 场景1 针对仅开通过CDN加速（中国内地）的客户，如需新增全球（不含中国内地）加速区域，即变更为全球加速，当前支持通过登录CDN控制台，单击【计费详情】【CDN加速】，参照如下操作说明进行加速区域的变更： 1. 进入CDN加速计费详情后，单击【操作】下的【变更加速区域】，进入变更加速区域界面。 2. 勾选“我已阅读，理解并接受《天翼云CDN服务协议》”，确认无误后，单击【变更加速区域】，即可完成加速区域变更。 场景2 针对已同时开通CDN加速中国内地和全球（不含中国内地）加速区域的客户，如需减配全球（不含中国内地）加速区域，即变更为仅中国内地加速，当前支持通过登录CDN控制台，单击【计费详情】【CDN加速】，参照如下操作说明进行加速区域的变更： 1. 进入CDN加速计费详情后，单击【操作】下的【变更加速区域】，进入变更加速区域界面。 2. 勾选“我已阅读，理解并接受《天翼云CDN服务协议》”，确认无误后，单击【减配加速区域】，即可完成加速区域的变更。 注意事项 1. 中国内地为CDN加速产品必须开通的加速区域，即不支持单独开通CDN加速产品的全球（不含中国内地）加速区域。 2. 增配加速区域，仅指产品开通中的加速区域由中国内地变更为中国内地+全球（不含中国内地）。 3. 减配加速区域，仅指产品开通中的加速区域由中国内地+全球（不含中国内地）变更为中国内地。

本节主要介绍HBlock Cinder配置卷类型。 可以按照下列步骤进行卷类型配置。 1. 修改Cinder的配置文件/etc/cinder/cinder.conf，使用enabledbackends启用HBlock的卷，并且在配置文件中增加HBlock卷相关参数。 说明 一次可以在cinder.conf添加多个卷的类型。 单机版示例如下： plaintext [DEFAULT] enabledbackends lvmdriver1,stor1 [stor1] volumegroupstackvolumeslvmdriver2 volumedriverstordriver.driver.driverstor.StorDriver volumebackendname stor1 storprovider HBlock storapiuser storuser storapipassword storchapuser chapuser storchappassword storapiendpoint writepolicy WriteBack sectorsize 4096 maxsessions 2 storpath /mnt/stor flattenvolumefromsnapshotfalse maxclonedepth5 集群版示例如下： plaintext [DEFAULT] enabledbackends lvmdriver1,stor,stor1,stor2 [stor] volumegroupstackvolumeslvmdriver2 volumedriverstordriver.driver.driverstor.StorDriver volumebackendname stor storprovider HBlock storapiuser storuser storapipassword storchapuser chapuser storchappassword storapiendpoint storchapuser chapuser storchappassword storagemode Local localstorageclass EC 2+1 highavailability ActiveStandby writepolicy WriteBack sectorsize 512 ecfragmentsize 16 maxsessions 2 minreplica 2 flattenvolumefromsnapshotfalse maxclonedepth5 [stor1] volumegroupstackvolumeslvmdriver2 volumedriverstordriver.driver.driverstor.StorDriver volumebackendname stor1 storprovider HBlock storapiuser storuser storapipassword storchapuser chapuser storchappassword storapiendpoint storagemode Local localstorageclass singlecopy highavailability Disabled writepolicy WriteAround sectorsize 512 flattenvolumefromsnapshottrue maxclonedepth5 [stor2] volumegroupstackvolumeslvmdriver2 volumedriverstordriver.driver.driverstor.StorDriver volumebackendname stor2 storprovider HBlock storapiuser storuser storapipassword storchapuser chapuser storchappassword storapiendpoint storagemode Local localstorageclass 3copy highavailability ActiveStandby writepolicy WriteThrough sectorsize 4096 文件中的参数解释如下： 参数名称 参数说明 是否必须 enabledbackends 需要在系统生效的后端存储名称。 如果有多个需要生效的存储，名称之间用英文逗号隔开。 是 volumegroup 卷的组。 是 volumedriver HBlock驱动所在路径。 取值： 如果驱动作为独立Python包进行安装，取值为stordriver.driver.driverstor.StorDriver。 如果复制stordriver到Cinder驱动目录的方式安装驱动，取值为：cinder.volume.drivers.stordriver.driver.driverstor.StorDriver。 是 volumebackendname 卷对应的后端存储名称，存储节点的Volume Provider 命名。与enabledbackends定义的后端存储名字保持一致。 是 storprovider 产品名称。 取值：HBlock。 是 storapiuser HBlock的管理员用户名。 说明 HBlock初始化时，默认用户名为storuser。 是 storapipassword HBlock的管理员密码。 是 storagemode HBlock卷的模式。 取值： Local：本地模式，数据全部保留在本地。 Cache：缓存模式，本地保留部分热数据，全部数据异步存储到OOS中。 Storage：存储模式，本地保留全部数据，并异步存储到OOS中。 默认值为Local。 否 storchapuser CHAP验证用名称。 取值：字符串形式，长度范围是3~64，只能由字母、数字、句点( . )、短横线( )、下划线( )、冒号( : )组成，字母区分大小写，且仅支持以字母或数字开头。 否 storchappassword CHAP认证密码。 取值：字符串形式，长度范围是12~16，只能由字母、数字或下划线( )组成，字母区分大小写。 否 storapiendpoint 配置HBlock RESTful API地址和端口。 对于集群版HBlock，可以填写多对HBlock RESTful API地址和端口，以英文逗号隔开。 说明 安装HBlock时，默认API端口为1443。 是 storpath 指定HBlock存储卷数据的数据目录（仅单机版支持）。 说明 如果创建卷时不指定数据目录，使用服务器设置的默认数据目录。 否 servernumbers Target所在的服务器数量（仅集群版支持）。 整数形式，取值为[2, n]，n为集群内服务器的数量。默认值为2。 否 faultdomains 卷的服务端连接位置信息。根据存储池的故障域，创建Target所在服务器的列表（仅集群版支持），以便创建LUN时，LUN关联的Target优先从该服务器列表中选择所在服务器。例如存储池为rack级别，其拓扑图涵盖rack1、rack2、rack3、rack4中的节点，且faultDomains指定rack1、rack2，那么创建LUN时，LUN关联的Target优先从rack1、rack2所包含的此存储池的服务器列表里进行选择。 注意 存储池的故障域为path级别时，不能设置该参数。 如果LUN指定了高速缓存池和最终存储池，则从高速缓存池池中选择节点列表。如果LUN只指定了最终存储池，则从最终存储池中选择节点列表。 取值：以节点的形式添加，节点的级别可以到room、rack、server。可以指定多个节点，但是节点的个数要小于等于serverNumbers。支持一个节点添加多次，但是每次只能选一个server，并且选择的server不能与前面重复。如果一个节点出现的次数过多导致节点内的全部server都被选择，则系统会忽略此节点，从后面的节点中继续选择。 否 pool 指定存储池（仅集群版支持），表示最终存储池，卷数据最终落在该存储池内。默认使用集群的基础存储池。 注意 已用该卷类型创建卷，禁止修改pool，否则将影响已创建的卷。如果需要修改pool，需要创建新的卷类型。 否 cachepool 指定缓存存储池（仅集群版支持）。如果指定了缓存存储池，卷数据首先写入缓存存储池，然后再存入存储池。 注意 存储池与缓存存储池不能是同一个存储池。 否 highavailability 选择卷的高可用类型（仅集群版支持）： ActiveStandby：启用主备，该卷关联对应Target下的所有IQN。 Disabled：不启用主备，该卷关联对应Target下的1个IQN。 默认值为ActiveStandby。 否 localstorageclass 卷冗余模式（仅集群版支持）。 取值： singlecopy：单副本。 2copy：两副本。 3copy：三副本。 EC N+M：纠删码模式。其中N、M为正整数，N>M，且N+M≤128。表示将数据分割成N个片段，并生成M个校验数据。 默认值为EC 2+1。 否 minreplica 最小副本数（仅集群版支持）。 对于副本模式的卷，假设卷副本数为X，最小副本数为Y（Y必须≤X），该卷每次写入时，至少Y份数据写入成功，才视为本次写入成功。对于EC N+M模式的卷，假设该卷最小副本数设置为Y（必须满足N≤Y≤N+M），必须满足总和至少为Y的数据块和校验块写入成功，才视为本次写入成功。 取值：整数。对于副本卷，取值范围是[1, N]，N为副本模式卷的副本数，默认值为1。对于EC卷，取值范围是[N, N+M]，默认值为N。 否 redundancyoverlap 卷的折叠副本数（仅集群版支持）。在数据冗余模式下，同一份数据的不同副本/分片默认分布在不同的故障域，当故障域损坏时，允许根据卷的冗余折叠原则，将多份数据副本放在同一个故障域中，但是分布在不同的path上。 注意 如果存储池故障域级别为path，此参数不生效。 取值：对副本模式，取值范围是[1，副本数]，默认值为1；对于EC模式，取值范围是[1，M+N]，默认值为1。 否 ecfragmentsize 纠删码模式分片大小（仅集群版支持）。卷冗余模式为EC模式时，此设置才生效，否则忽略。 取值：1、2、4、8、16、32、64、128、256、512、1024、2048、4096，单位是KiB。默认值为16。 否 sectorsize 设置扇区大小。 取值：512、4096，单位是bytes。默认值为4096。 否 writepolicy 卷的写策略： WriteBack（wb）：回写，指数据写入到内存后即返回客户端成功，之后再异步写入磁盘。适用于对性能要求较高，稳定性要求不高的场景。 WriteThrough（wt）：透写，指数据同时写入内存和磁盘，并在都写成功后再返回客户端成功。适用于稳定性要求较高，写性能要求不高，且最近写入的数据会较快被读取的场景。 WriteAround（wa）：绕写，指数据直接写到磁盘，不写入内存。适用于稳定性要求较高，性能要求不高，且写多读少的场景。 默认值为WriteBack（wb）。 否 maxsessions iSCSI Target允许建立的最大会话数。 取值：整数，取值范围是[1, 1024]，默认值为1。 否 flattenvolumefromsnapshot 是否断开卷与快照的关系链： true：断开。 false：不断开。 默认值为false。 否 maxclonedepth 最大克隆卷深度，当超过设置的最大深度时，新创建的卷会自动执行断链。 取值：整数，取值范围是[0, 15]，默认值为5。0表示不支持克隆卷。 否 cloudbucketname 已存在的OOS存储桶的名称。 注意 请勿开启Bucket的生命周期设定和合规保留。 上云卷必填 cloudprefix 设置OOS中的前缀名称，设置前缀名称后，卷数据会存在存储桶以前缀命名的类文件夹中。如果未指定前缀，则直接存储在以卷名称命名的类文件夹中。 取值：字符串形式，长度范围是1~256。 否 cloudaccesskey OOS AccessKeyID。 上云卷必填 cloudsecretkey OOS SecretAccessKey。 上云卷必填 cloudendpoint 设置OOS Endpoint。 上云卷必填 cloudobjectsize 数据存储在OOS中的大小。 取值：128、256、512、1024、2048、4096、8192，单位是KiB。默认值为1024。 否 cloudstorageclass 设置OOS的存储类型： STANDARD：标准存储。 STANDARDIA：低频访问存储。 默认为STANDARD。 否 cloudcompression 是否压缩数据上传至OOS： Enabled（on）：压缩数据上传至OOS。 Disabled（off）：不压缩数据上传至OOS。 默认值为Enabled（on）。 否 cloudsignversion 指定上云签名认证的类型： v2：V2签名认证。 v4：V4签名认证。 默认值为v2。 否 cloudregion 表示Endpoint资源池所在区域。 V4签名时，此项必填。 条件 deleteclouddata 删除卷时，是否删除云上的数据： true：删除云上数据。 false：不删除云上数据。 默认值为true。 否 2. 使用下列命令，使用配置生效： plaintext cinder typecreate volumebackendname cinder typekey volumebackendname set volumebackendnamevolumebackendname 示例1：使步骤1中单机版配置生效 plaintext cinder typecreate stor1 cinder typekey stor1 set volumebackendnamestor1 示例2：使步骤1中配置的集群版配置生效 plaintext cinder typecreate stor cinder typekey stor set volumebackendnamestor cinder typecreate stor1 cinder typekey stor1 set volumebackendnamestor1 cinder typecreate stor2 cinder typekey stor2 set volumebackendnamestor2 3. 重启Cinder服务 如果使用DevStack方式安装OpenStack，重启Cinder服务命令如下： plaintext systemctl restart devstack@c 如果使用Packstack安装OpenStack，重启Cinder服务命令如下： plaintext systemctl restart openstackcinder 4. 配置Multipath（集群版） 1）参考客户端配置章节中的“配置 MPIO”，确保MPIO正确配置。 2）启用Nova的multipath功能（如果是多节点部署，需要到对应的计算节点修改配置）：如果使用DevStack方式安装OpenStack，修改/etc/novacpu.conf；如果使用Packstack安装OpenStack，修改/etc/nova/nova.conf。 plaintext [libvirt] iscsiusemultipath true 5. 重启Nova服务（集群版） 如果使用DevStack方式安装OpenStack，重启Nova服务命令如下： plaintext systemctl restart devstack@n 如果使用Packstack安装OpenStack，重启Nova服务命令如下： plaintext systemctl restart openstacknova 说明 如果是多节点部署，需要到对应的计算节点重启Nova服务。 6. 验证卷是否配置正确 plaintext cinder typelist cinder typeshow ID

一键自动修复 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“风险管理 > 漏洞扫描”，进入漏洞扫描页面。 3. 勾选漏洞列表中所有需要修复的漏洞，单击漏洞列表左上角的“批量修复”，一键批量修复漏洞。 4. 在修复对话框中，确认待修复的漏洞数量和影响资产数量、选择修复所需软件源。 您可以在修复对话框中查看修复命令、查看影响服务器数量。软件源支持清华软件源、华为云软件源、阿里云软件源，也可以自配置软件源。若选择自配置软件源，请务必确认已在服务器上配置好对应操作系统发行版的软件源（如 yum、zypper、aptget 或 emerge 等包管理工具对应的软件源）。 5. 单击“确定”，开始自动修复漏洞。 6. 修复完成后，建议您立即重新扫描漏洞，验证修复结果。 手动修复漏洞 您可以参考漏洞详情页面的修复建议，登录服务器手动修复漏洞。 说明 漏洞修复完成后需要手动重启服务器，否则系统仍可能为您推送漏洞消息。 不同的漏洞请根据修复建议依次进行修复。 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“风险管理 > 漏洞扫描”，进入漏洞扫描页面。 3. 单击“漏洞名称”链接、或操作列的“查看详情”，跳转至漏洞详情页面。 4. 在漏洞详情页面可以看到漏洞修复建议。 5. 登录漏洞影响的服务器，根据修复建议进行修复。 6. 修复完成后，建议您立即重新扫描漏洞，验证修复结果。

本文主要介绍创建副本集实例 操作场景 本章介绍在文档数据库服务的管理控制台创建副本集实例的过程。目前，副本集实例支持“包年/包月”和“按需计费”两种方式购买，您可以根据业务需要，定制相应计算能力和存储空间的副本集实例。 每个租户下副本集实例的默认总配额为50。 操作步骤 步骤 1 登录文档数据库服务控制台。 步骤 2 在“实例管理”页面，单击“购买数据库实例”。 步骤 3 在“服务选型”页面，选择计费方式，填写并选择实例相关信息后，单击“立即购买”。 计费方式 参数 描述 :: 计费方式 选择“包年/包月”或“按需计费”。 包年/包月 用户选购完服务配置后，可以根据需要设置购买时长，系统会一次性按照购买价格对账户余额进行扣费。 创建成功后，如果包周期实例到期后不再长期使用资源，可将“包年/包月”实例转为“按需计费”，到期后将转为按需计费实例。 按需计费 用户选购完服务配置后，无需设置购买时长，系统会根据消费时长对账户余额进行扣费。 创建成功后，如果需要长期使用资源，可将“按需计费”实例转为“包年/包月”，继续使用这些资源的同时，享受包周期的低资费。 基本信息 参数 描述 :: 实例名称 实例名称为4～64个字符，必须以字母开头，区分大小写，可包含字母、数字、中划线或下划线，不能包含其他特殊字符。 创建成功后，可修改实例名称。 版本类型 社区版。 实例类型 选择“副本集”。 副本集实例由主节点、备节点和隐藏节点组成。当主节点故障时，系统自动分配新的主节点；当备节点不可用时，隐藏节点接管服务，保证高可用。 兼容MongoDB版本 4.0 3.4 存储类型 超高IO 存储引擎 WiredTiger。 可用区 指在同一区域下，电力、网络隔离的物理区域，可用区之间内网互通，不同可用区之间物理隔离。 规格与存储 参数 描述 :: 规格类型 x86 CPU架构下，针对不同的应用场景，可以选择不同的规格类型。 通用型（s6）。通用型的规格实例，适合平时不会持续高压力使用CPU，但偶尔需要提高计算性能完成工作负载的场景，包括但不限于：轻量级的Web服务器、开发、测试环境以及中低性能数据库等。 增强型（c3）。搭配高性能网络，综合性能及稳定性全面提升，满足对业务稳定性及计算性能要求较高的企业级应用诉求。 增强Ⅱ型（c6）。多项技术优化，计算性能强劲稳定，配套25GE智能高速网卡，提供超高网络带宽和PPS收发包能力。是高负载场景首选，对于计算与网络有更高性能要求的网站和Web应用、通用数据库及缓存服务器，中重载企业应用等更加适用。 性能规格 实例的CPU和内存规格，请参见数据库实例规格。创建成功后，可进行规格变更。 存储空间 存储空间最小10GB，最大2000GB，用户选择大小必须为10的整数倍。 网络 参数 描述 :: 虚拟私有云 文档数据库实例所在的虚拟专用网络，可对不同业务进行网络隔离，方便地管理、配置内部网络，进行安全、快捷的网络变更。您需要创建或选择所需的虚拟私有云。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。 实例创建成功后，可以修改子网分配的内网地址，具体请参见修改实例内网地址。 安全组 安全组限制安全访问规则，加强文档数据库服务与其它服务间的安全访问。 说明 请确保所选取的安全组允许客户端访问数据库实例（如协议选择为TCP，方向选择为入方向，端口设置为8635，源地址设置为实例所属子网或所属安全组）。 跨网段访问配置 现在设置 配置源端对应的网段，确保在源端ECS网络与实例节点网络连通的前提下， 可以在ECS端连接实例。 说明 源端ECS连接实例的前提是与实例节点网络通信正常，如果网络不通，可以参考《虚拟私有云用户指南》中“对等连接”进行相关配置。 跨网段访问配置当前只支持新增，不支持修改和删除。 跨网段访问配置当前最多支可持配置9个网段， 源端网段之间不能重复。 创建后设置 暂不配置源端对应网段。实例创建成功后，如需配置，请参见跨网段访问配置章节。 数据库配置 参数 描述 :: 设置密码 现在设置 输入管理员密码和确认密码。实例创建成功后，您可以通过该密码连接实例。 创建后设置 暂不设置管理员密码。实例创建成功后，如需连接实例，您需要先单击实例“操作”列下的“重置密码”，根据界面提示，为实例设置密码，再通过该密码连接实例。 管理员帐户名 默认rwuser。 管理员密码 所设置的密码，最小长度为8位，最大长度为32位，必须是英文大小写字母、数字、特殊字符~!@

本文介绍AD域相关的概念及工作原理。 AD域功能是微软Windows服务器的活动目录所构建的一种网络管理架构，它提供了一种标准化方法创建、组织和管理计算机网络中的用户、计算机、服务等资源，为企业提供集中管理用户身份验证、授权和访问控制的能力。AD域中的管理节点叫做域控制器DC，域控制器实现对AD域中资源的具体管理。 天翼云支持用户对VPC内的域控制器进行用户和文件系统访问权限管理。通过将文件系统加入Windows的AD域服务，天翼云弹性文件服务可以实现基于AD域的用户身份认证及文件系统级别的权限访问控制，文件系统可以设置通过AD域用户身份或者匿名用户身份（nobody）挂载访问，进而实现文件或文件夹的权限控制。 基本概念 Kerberos协议 Kerberos是一种计算机网络认证协议，使用对称加密技术为客户端/服务器应用程序提供强身份验证。目前主流的Kerberos实现版本有两个，一种是麻省理工版的mitkrb5，主要支持DES加密算法；一种是开源社区的heimdalkrb5，主要支持AES、Triple DES和RC4等加密算法；Heimdal Krb5还提供了跨平台的支持，包括Windows、Linux、MacOS X等。Kerberos中有三种核心角色： 服务端（Server）：域内提供具体服务的应用程序或服务器，如Samba Server。每个服务端都有一个唯一的服务主体名称（SPN），用于在网络中标识自己。 客户端（Client）：需要使用kerbores服务的客户端，如AD域中的另一台Windows节点或者用户。 密钥分发中心（KDC）：作为客户端和服务端都信任的第三方，主要提供许可证和会话秘钥。KDC上运行着认证服务器（Athentication Service，AS）和许可证服务器（Tickt Granting Service，TGS）。AS 专门用来认证客户端的身份并发放客户用于访问 TGS 的许可证认购权证（TGT）；TGS 用来发放客户端访问服务端时所需的许可证（Service Ticket）。

本节介绍IPSec VPN带宽管理。 1.进入“AI云电脑（政企版）”管理控制台； 2.点击“网络管理”，点击“企业云网”，选择“IPsec VPN”，进入IPsec VPN管理页面； 3.在操作实例中点击“管理”，选择“调整带宽大小”，进入调整带宽大小管理页面； 4.进入调整带宽大小页面，可拖动进度条或填写具体数字设置带宽。

本节介绍天翼云息壤一体化智算服务平台的应用场景。 天翼云息壤一体化智算服务平台，根据不同应用场景可提供不同产品组合解决方案。 调度运营分散算力管理 场景1：拥有分散的多种算力，需建设统一纳管调度平台，高效利用资源。 场景2：拥有多余算力，希望纳入算力联盟，进行统一管理与运营，实现资源变现。 解决方案：息壤·公共算力服务+定制化开发+业务运营。 科研实训高阶智算服务 场景：适用于高校或科研机构等进行科学计算，广泛应用于科研教育、影视视频渲染、生物数据分析、高性能计算等领域。 解决方案1：基于公有云，快速使用息壤·科研助手，针对仿真、流体计算、材料化学、数学计算等科研场景，可灵活调度各类计算资源，并搭载常用科研软件，支持一键部署、开箱即用。 解决方案2：基于私有化，息壤·科研助手+算力网关，纳管智算设备基础上进行科研训练，搭载常用科研软件，开箱即用。 深度自研大模型训推 场景：用户有大模型训推需求，需调用算力资源和训推平台能力。 解决方案1：基于公有云，快速使用息壤·训推服务平台；或基于私有化，以息壤·科研助手+算力网关的搭配形式，纳管智算设备基础上以IDE开发的形式使用平台运行训练和推理任务，对用户的专业水准有一定要求。 解决方案2：基于公有云，息壤·模型推理服务平台，以低代码形式使用平台运行训练和推理任务，操作的专业门槛较低 。 解决方案3：息壤·智算一体机，低成本落地小型化训推一体化。

全局时钟（Global Timestamp） 全局时钟在分布式数据库中的作用是通过提供统一的时间参考，确保系统内各组件协同工作时的时间同步，从而保障数据的一致性和系统的正确运行。如下为全局时钟的架构和分布式并发记录结构。 由GTM提供全局唯一的事务id和全局事务快照。当事务执行时，会话携带全局事务id，各节点通过全局事务id来判断数据的可见性。 全局时钟通过分布式并发记录来保障各组件协同工作时的时间同步。分布式并发控制核心点如下： 1. 逻辑时钟从零开始内部单向递增且唯一，由GTM维护，定时和服务器硬件计数器对齐，从而保证时钟源稳定。 2. 多个GTM节点构成集群，主节点对外提供服务；主备之间通过日志同步时间戳状态，保证GTS核心服务可靠性。 3. 单台物理机每秒能够处理1200万QPS，几乎满足所有业务场景。 4. 段页式存储的MVCC是整个并发控制的基础。同时约定：事务的gtsstart > gtsmin并且gtsmax没有提交或者gtsstart < gtsmax才能看到对应的事务。 两阶段提交（Two Phase Commit） 分布式事务执行时，由CN节点发起两阶段提交事务，并协调其它节点（参与者）执行事务，经过表决、执行两个阶段各参与者返回的状态，决定分布式事务需要提交或回滚。 两阶段提交被认为是一种一致性协议，用来保证分布式系统数据的一致性。绝大部分的关系型数据库都是采用两阶段提交协议来完成分布式事务处理。 两阶段提交事务在执行时分为两个阶段，第一阶段为表决阶段Prepare，第二阶段为执行阶段Commit，由协调者发起，并根据所有参与者返回的状态，判断是否需要执行下一阶段，Commit提交或回滚事务。 1. 表决阶段Prapare：所有参与者都将本事务能否成功的信息反馈发给协调者。 2. 执行阶段Commit：协调者根据所有参与者的反馈，通知所有参与者，步调一致地在所有分支上提交或者回滚。 两阶段提交机制的潜在问题： 1. 数据不一致问题：当部分参与者故障，各参与者在两阶段提交事务中的状态就会出现不一致的情况，如：部分节点commit，部分prepare，或部分commit，部分rollback，这都会导致该事务更新的数据在所有参与者中出现不一致。 2. 同步阻塞问题：两阶段提交过程中的一些步骤是同步阻塞的，没有超时机制，可能会有长时间阻塞的问题。同时，如果异常时，有prepare状态的两阶段事务残留，残留事务仍会持有锁，会阻塞后续会话对这些数据的访问和更新。 3. 协调节点单点故障问题：如果协调节点故障后短时间不能恢复，参与者的两阶段事务会一直残留，导致出现数据不一致、资源阻塞的问题。 TeleDB在内核处理机制，以及异常处理两个角度，对两阶段提交进行了优化，确保在两阶段事务异常时能自动恢复，不会出现上述问题。 内核处理机制优化 在两阶段事务执行过程中记录信息，用于异常时恢复残留的两阶段事务； 避免进入“Commit Prepared”的两阶段事务在所有参与节点被回滚。 分布式死锁检测模块：该模块对数据库状态进行实时监测，当发现存在长时间等待依赖时自动开启分布式死锁检测，经过节点间信息传递和算法分析可快速检测并解除死锁环。检测算法不影响系统查询效率，用户对死锁检测过程无感知。分布式死锁主要分为四个模块，分别为锁等待依赖关系的管理、线程模型模块、检测算法模块和监控与追踪模块。 锁等待依赖关系的管理：对分布式数据库中出现的长时间等待事务依赖对进行检测与上报。 线程模型模块：包含DDS专用线程工作模式和方法的设计、实现。 检测算法模块：分布式死锁检测的执行算法，根据上游节点发送的消息进行两阶段算法推演，再发送消息给下游节点。 监控与追踪模块：包含DDS依赖消息产生和传播的追踪日志、各节点依赖可视化、最近死锁记录保存。 其优点是内核原生支持、自动检测并解锁、分布式算法，需要传输的信息量少、网络资源消耗少、解锁速度快、无死锁误判、支持优先级解锁和抗丢包性强。 异常处理优化：提供两阶段事务的自动处理插件，在监测到两阶段事务残留时，通过访问两阶段事务执行过程中记录的信息，来判断各个参与节点的状态，根据状态参照对应规则，对残留事务进行清理，恢复各节点数据到全局一致。 PREPARED状态 COMMIT状态 ROLLBACK状态 异常阶段及原因 动作 有 有 无 commit阶段异常参与节点故障 COMMIT剩余事务 有 无 有 prepare阶段异常参与节点宕机 ROLLBACK剩余事务 有 无 无 prepare阶段异常发起节点宕机 ROLLBACK剩余事务

本人主要介绍命名空间权限（Kubernetes RBAC授权）。 命名空间权限（kubernetes RBAC授权） 命名空间权限是基于Kubernetes RBAC能力的授权，通过权限设置可以让不同的用户或用户组拥有操作不同Kubernetes资源的权限。Kubernetes RBAC API定义了四种类型：Role、ClusterRole、RoleBinding与ClusterRoleBinding，这四种类型之间的关系和简要说明如下： Role：角色，其实是定义一组对Kubernetes资源（命名空间级别）的访问规则。 RoleBinding：角色绑定，定义了用户和角色的关系。 ClusterRole：集群角色，其实是定义一组对Kubernetes资源（集群级别，包含全部命名空间）的访问规则。 ClusterRoleBinding：集群角色绑定，定义了用户和集群角色的关系。 Role和ClusterRole指定了可以对哪些资源做哪些动作，RoleBinding和ClusterRoleBinding将角色绑定到特定的用户、用户组或ServiceAccount上。如下图所示。 图 角色绑定 在CCE控制台可以授予用户或用户组命名空间权限，可以对某一个命名空间或全部命名空间授权，CCE控制台默认提供如下ClusterRole。 view（只读权限）：对全部或所选命名空间下大多数资源的只读权限。 edit（开发权限）：对全部或所选命名空间下多数资源的读写权限。当配置在全部命名空间时能力与运维权限一致。 admin（运维权限）：对全部命名空间下大多数资源的读写权限，对节点、存储卷，命名空间和配额管理的只读权限。 clusteradmin（管理员权限）：对全部命名空间下所有资源的读写权限。

本文汇总了密钥管理操作类常见问题。 如何使用密钥实现数据加解密？ KMS提供了REST（Representational State Transfer）风格API，支持通过HTTPS请求调用。用户可使用提供的API实现加解密运算等操作。下面以使用用户主密钥进行数据加解密为例介绍实现过程： 加密流程（以加密证书为例）： 1.通过KMS控制台或者调用CreateKey接口，创建一个用户主密钥（CMK）； 2.调用KMS服务的Encrypt接口，将明文证书加密为密文证书； 3.将密文证书部署在服务器上； 4.当服务器启动需要使用证书时，调用KMS服务的Decrypt接口将密文证书解密为明文证书。 如何导入外部自带密钥？ 创建密钥后，首先进入密钥详情页获取导入主密钥材料的参数，参数包括加密公钥及导入令牌，用户使用获取到的公钥加密自带密钥材料，然后在控制台密钥详情页，根据页面提示上传自带密钥材料即可。 从KMS获取到的导入令牌与加密密钥材料的公钥具有绑定关系，一个令牌只能为其生成时指定的主密钥导入密钥材料。导入令牌的有效期为24小时，在有效期内可以重复使用，失效以后需要获取新的导入令牌和加密公钥。 如何删除密钥？ KMS不支持立即删除，仅支持计划删除，即用户需设置预删除周期（自定义7~30天），系统会在到期时自动删除密钥，预删除期间密钥仍托管至系统中，但无法被调用实现加解密等相关功能。 设置密钥计划删除后，密钥将不再产生费用。若您在预删除期间发现密钥仍需继续使用，则可以选择取消计划删除，使密钥重新变为可用。

本章节为您介绍日志审计(原生版)资产组的相关操作。 日志审计（原生版）提供集中化的统一管理平台，将所有的需要审计的设备统一纳管入平台中，进行信息资产的统一日志管理。 在使用日志审计（原生版）之前，您先需要将资产纳管，以便服务可以进行日志管理。 新增资产组 1. 登录日志审计（原生版）控制台。 2. 在左侧导航栏选择“资产 > 资产管理”。 3. 单击页面上的“新增组”按钮，或将鼠标放在已有资产组上，单击按钮新增子资产组。 4. 在弹出的对话框中填写“资产组名称”，填写完成后单击“确认”即可新增资产组。 参数 参数说明 父资产组 不可选择，系统默认填写。 资产组名称 填写您需要创建的资产组名称，最大长度不超过64个字符。 编辑资产组 1. 登录日志审计（原生版）控制台。 2. 在左侧导航栏选择“资产 > 资产管理”。 3. 将鼠标放在待编辑的资产组上，单击按钮。 4. 在弹出的对话框中修改资产组名称，修改完成后单击“确认”保存。

此章节为您介绍如何配置数据采集项。 您在添加完资产后，需要在“采集配置”模块中添加资产采集方法。 新增采集资产 说明 日志审计（原生版）仅开启内网IP段的514端口 UDP采集，若您需要使用其他IP段或端口采集日志，请您提交工单联系天翼云支撑人员为您配置规则。 Syslog资产 1. 登录日志审计控制台。 2. 选择“系统配置 > 采集管理 > syslogudp”，进入syslogudp资产配置页。 3. 选择待采集设备的“资产组”和“资产IP”，单击“新增”完成资产配置。 Snmptrap资产 同上，区别于采集方式选择Snmptrap。配置Snmptrap采集资产： 1. 新增MIB文件任务。在菜单“系统配置> 采集管理 > MIB管理”页面中，单击“新增”，上传MIB文件。 2. 在菜单“系统配置 > 采集管理 > SnmpTrap管理”页面中，单击“新增”，对弹出的对话框中填写相关参数，详情见下表。 3. 单击“提交”，完成Snmptrap资产的对接。 参数名称 填写说明 资产IP 选择待采集资产的IP地址。 数据接收端口 选择待采集资产的数据接收端口。 关联资产 自动关联，无需填写。 SNMP版本 选择SNMP版本，当前仅支持“v1”和“v2c”版本。 Community 自定义发送的团队名称。 MIB选择文件 选择步骤1上传的MIB文件。 发送Topic名称 自定义发送Topic的名称。 MIB文件内容 查询MIB中文件的内容。关键字查询，多个关键字符请使用英文","进行分隔。

本节介绍跨集群跨地域容灾迁移。 为了应对集群单点宕机故障，分布式容器云平台CCE One的集群联邦提供多集群多活应用、秒级流量接管能力。业务应用的实例可以多集群多活的部署在不同容器集群服务中，当集群单点宕机故障发生时，集群联邦可以秒级自动完成应用实例的弹性迁移以及流量的切换，业务的可靠性大大提升。 多活容灾方案示意如下图所示，通过创建域名访问规则，将应用分发到多个Kubernetes集群，包括两个天翼云CCE集群（部署在不同Region）和一个其他云的Kubernetes集群，实现应用的多活容灾。 前提条件 已开通一个天翼云CCE集群和一个三方云集群。 已订购具备策略解析能力的公网DNS服务，例如GTM等；天翼云当前无此类产品售卖，因此需用户自行准备，或找专门的DNS服务提供商购买。 适用场景 对应用容灾高可用有较高要求，希望实现业务极致弹性及高可用的场景。 操作指引 本文将基于天翼云CCE集群和阿里云ACK集群，演示如何实现多集群应用容灾与自动迁移能力。 步骤一：将天翼云CCE集群及三方云集群，注册到CCE One，并加入到联邦成员中 1. 在【集群资源】>【注册集群】页面，选择天翼云类型注册集群，并根据指引将提前创建的天翼云CCE集群和阿里云ACK集群关联进来； 2. 进入【舰队管理】页面，创建舰队并添加上面关联的两个CCE One注册集群； 3. 进入【联邦管理】页面，根据指引订购集群联邦实例，并将联邦实例与上面的舰队进行关联； 由于舰队中成员集群与联邦存在跨资源池情况，联邦联通网络可能需要用户手工干预才能联通；具体可参考指引 打通注册集群与联邦实例之间的联通网络 如下图所示： 已成功注册到联邦的成员集群，其【接入联邦状态】应为“已连接”；若连接状态为“添加失败”，则可以参考上面指引进行网络配置调整，并修改【联邦网络类型】到对应类型后，触发后台再次自动尝试连接。

监控说明 用户可以通过云监控控制台查看NAT网关的监控指标详情。 操作步骤 1. 登录天翼云控制中心，选择目标区域节点。选择“管理与部署>云监控”，进入云监控页面。 2. 点击左侧导航栏云服务监控下拉菜单中的NAT网关监控，在待查看的NAT网关操作栏点击“查看监控图表” 3. 进入监控详情页，可查看具体的监控指标 监控周期：可选1小时，3小时，12小时，24小时，近7天和15天，也可自定义选择时间段 监控指标：见支持的监控指标，图表展示监控周期内指标变化及当前指标的最大值最小值。 监控明细：基于云主机的内网IP监控明细数据展示，支持按照并发连接数排序。展示Top20的并发连接数云主机。 Top20展示的是某一分钟内的Top20数据，支持选择当前时刻前的24小时。 4. 根据监控指标调整产品配置 对于并发连接数使用率、规格超限丢弃报文数等和实例规格相关的监控指标，可以设置告警规则，当监控数据超过设定的阈值时，您需要关注NAT网关的实例规格是否满足业务流量，如果无法满足当前的业务流量，请及时对NAT网关进行升配。

无法通过SSH的方式登录弹性云主机有可能是由于未对云主机的sshd服务进行配置，以下将对SSH的服务配置步骤进行说明。 操作步骤 1. 进入天翼云弹性云主机控制台，选中要操作的云主机。 2. 通过VNC的登录方式链接到云主机控制台。 3. 进入命令行操作界面，输入root用户名及设置的登录密码。 4. 输入以下命令。 vim /etc/ssh/sshdconfig 5. 修改以下配置项。 PermitRootLogin yes PasswordAuthentication yes AllowUsers root（无则添加） 6. 完成修改够，退出保存。 :Wq！ 7. 重启sshd服务，使修改项生效。 service sshd restart 至此，已完成SSH服务配置的修改，用户可再次尝试远程登录操作。

本文帮助您了解如何挂载磁盘。 操作场景 系统盘：天翼云根据用户创建云主机时选择的操作系统，会自动创建并自动挂载系统盘，无需单独购买或手动挂载。 数据盘：可以与系统盘一起在创建云主机时购买，并自动挂载。也可以单独购买，并手动挂载。需要注意待挂载的磁盘须与云主机位于同一个地域内的同一个可用区。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择专属云资源池。 3. 进入存储页面，点击“专属存储>磁盘”，进入磁盘界面。 4. 在磁盘列表找到需要挂载的磁盘，在操作列，单击“挂载”，进入挂载磁盘页面。 5. 选择待挂载的云主机，单击“确定”。 6. 返回磁盘列表，当磁盘状态变为“已挂载”时，表示挂载成功。

本章节主要介绍在Hive MetaStore实例进行Master扩容后，对其他相关服务的修改建议。 前置条件 1. Hive MetaStore完成扩容与配置生效操作。 2. 集群状态正常。 相关服务修改建议 Flink 如果用户配置了数据湖作业，那么就需要登录到所有的Flink client主机，在flink配置目录/user/local/flink/conf/中建立对/user/local/hive/conf/hivesite.xml的软链。 如果Hive MetaStore进行了节点扩容，需要更新该软链或文件，保证Flink使用到的是扩容后的hivesite.xml文件。 最后，根据扩容后的Hive MetaStore节点，更新数据湖作业中配置的hive.uri，并重启作业。 如果用户没有配置数据湖作业，则Flink不需要做任何操作。 Trino 通过翼MR Manager进入Trino集群的“配置管理”页面，修改hive.properties文件。 在参数hive.metastore.uri中按照实际情况填写metastore的地址；例如，三台Hive MetaStore的主机名为hostname1,hostname2,hostnam3,那么该配置的值应为thrift://hostname1:9083,thrift://hostname2:9083,hrift://hostname3:9083。 保存更改后，需要进行配置“同步”操作。 最后，重启Trino集群服务。 Spark 通过翼MR Manager进入Spark集群的“配置管理”页面，修改sparkdefaults.conf文件。 在参数spark.sql.catalog.sparkcatalog.uri中按照实际情况填写metastore的地址；例如，三台Hive MetaStore的主机名为hostname1,hostname2,hostnam3,那么该配置的值应为thrift://hostname1:9083,thrift://hostname2:9083,hrift://hostname3:9083。 保存更改后，需要进行配置“同步”操作。 最后，重启Spark集群服务。

本章节介绍当用户账号欠费后,云主机备份产品的处理说明。 产生欠费的可能情况： 购买按需计费模式的云主机备份后账户余额不足。 欠费后的服务状态和操作受限说明： 如果账号欠费，您的备份数据仍会保留，您也可以继续查看备份数据，但因依赖的按需云主机和云硬盘资源冻结或受限，不可以进行创建备份恢复等操作。如超出期限仍未缴清欠款，您的数据将自动被系统销毁且无法恢复，请您及时充值。 有关欠费等详情请参考天翼云帮助中心— 费用中心。

场景描述 方向 协议/应用 端口 通过Web浏览器登录云堡垒机（HTTPS） 入方向 TCP 22333 通过MSTSC客户端登录云堡垒机 入方向 TCP 53389 通过SSH客户端登录云堡垒机 入方向 TCP 2222 通过FTP客户端登录云堡垒机 入方向 TCP 20~21 通过云堡垒机的SSH协议远程访问Linux云服务器 出方向 TCP 22 通过云堡垒机的RDP协议远程访问Windows云服务器 出方向 TCP 3389 通过云堡垒机访问Oracle数据库 入方向 TCP 1521 通过云堡垒机访问Oracle数据库 出方向 TCP 1521 通过云堡垒机访问MySQL数据库 入方向 TCP 33306 通过云堡垒机访问MySQL数据库 出方向 TCP 3306 通过云堡垒机访问SQL Server数据库 入方向 TCP 1433 通过云堡垒机访问SQL Server数据库 出方向 TCP 1433 通过云堡垒机访问DB数据库 入方向 TCP 50000 通过云堡垒机访问DB数据库 出方向 TCP 50000 同一安全组内通过SSH客户端登录云堡垒机 出方向 TCP 2222 短信服务 出方向 TCP 10743、443 DNS域名解析 出方向 UDP 53