本文带您对比自建存储服务器和对象存储两种方案,并了解对象存储的产品优势。 本地自建存储与云上对象存储对比 对比项 本地自建存储 云上对象存储 优先选择 存储空间 受硬盘容量限制，需人工扩容。 不限制存储空间大小，理论上可无限扩容。 对象存储 存储成本 需要购买硬件设备、并考虑维护费用、托管费用等。 无需购买硬件设备，按需付费，节省成本。 对象存储 存储性能 可提供高性能、低延迟的数据访问，适合对I/O要求较高的应用场景。 相比本地自建，数据访问性能和延迟有一定损耗，需要考虑网络带宽，但通过专线访问可达到本地自建一样的效果。同时支持缓存热点文件，具备提供高性能、高吞吐量数据访问服务的能力。 两者均可 存储可靠性 受限于硬件持久性，易出问题，一旦出现磁盘坏道，容易出现不可逆转的数据丢失。 提供多重冗余架构设计，为数据持久存储提供可靠保障，服务可用性不低于99.995%，数据持久性不低于99.9999999999% (十二个9)。 对象存储 存储安全性 需要单独购买安全设备，需要单独实现安全机制。 提供企业级多层次安全防护，包括服务端加密、客户端加密、防盗链、IP黑白名单访问、细粒度权限管控、STS和URL鉴权和授权机制、合规保护、日志审计等。 对象存储 存储易用性 不支持数据生命周期管理，仅支持挂载方式接入。 支持数据生命周期管理，提供标准的RESTful API接口、丰富的SDK包、客户端工具、控制台等。 对象存储 存储灵活性 难以适应不同类型和规模的数据存储需求，需要预先规划好存储架构和资源分配。 支持多种存储类型和访问模式，如标准存储、低频存储、归档存储等，可以根据数据的访问频率进行动态调整。 对象存储 存储兼容性 难以与其他平台或云服务进行集成和协作，需要进行额外的开发和适配工作。 支持多种云服务或平台的接入和使用，如支持S3协议，与CDN进行内容分发，与云主机进行集成以实现弹性计算等。 对象存储

本小节介绍SSL VPN的配置L3VPN资源最佳实践。 功能简述 L3VPN应用的实现是通过在客户端安装虚拟网卡，由虚拟网卡抓取访问服务器的数据，进行封装后通过虚拟网卡和SSL设备建立的隧道将数据传递到应用服务器。L3VPN目前支持TCP、UDP、ICMP协议。 准备工作 确认业务系统名称和对应的IP和端口（如有）。 配置思路 1. 在资源管理里创建相应的L3VPN应用。 2. 在角色里关联资源关联用户。 配置方式 1. 在资源管理里创建相应的L3VPN应用。 新建L3VPN资源： 2. 新建角色授权关联资源给用户。 新建角色，将用户和资源关联起来（配置完成后须点击“立即生效”按钮完成配置保存）。 用户登录访问资源 1. 登录SSL VPN，查看EasyConnect客户端虚拟网卡（VNIC）安装成功了，分配到了虚拟IP。 2. 在资源列表直接点击对应资源；或者在浏览器另开标签页，输入资源地址直接访问。 注意 不管发布哪种类型资源，前提是SSL本身能访问得到，SSL到目标服务器网络层路由可达、传输层端口通。 如果发布的资源要在资源列表点击就能访问，要在“+”添加的第一条端口范围为固定值，如80到80。 如果要求拨入SSL VPN能ping通服务器，需要将ICMP协议发布。 如果服务器需要主动连接客户端，此时需要将L3VPN资源访问模式改成“使用分配的虚拟IP地址作为源地址”，并在应用服务器加到对应虚拟IP网段的回包路由。 如果资源是以域名形式发布的，要求SSL本身能解析到，建议配置“内网域名解析”或者添加内网DNS规则，保证客户端DNS解析请求能进VPN隧道。

版本列表 版本列表 版本说明 TeleChat12B 星辰语义大模型TeleChat开源的12B参数版本，支持deepspeed微调和多轮对话能力，在外推能力和长文生成方面展现出优异表现。其开源版本包括12B模型的int8和int4量化版本。 声明、协议、引用 声明 不要使用TeleChat模型及其衍生模型进行任何危害国家社会安全或违法的活动，不要将TeleChat模型用于没有安全审查和备案的互联网服务。希望所有使用者遵守上述原则，确保科技发展在合法合规的环境下进行。 中电信尽可能确保模型训练过程中使用的数据的合规性，由于模型和数据的复杂性，仍有可能存在一些无法预见的问题。因此，如果由于使用TeleChat开源模型而导致的任何问题，包括但不限于数据安全问题、公共舆论风险，或模型被误导、滥用、传播或不当利用所带来的任何风险和问题，中电信不承担任何责任。 协议 社区使用 TeleChat 模型需要遵循《TeleChat模型社区许可协议》。 TeleChat模型支持商业用途，如果您计划将 TeleChat 模型或其衍生品用于商业目的，您需要通过以下联系邮箱 teleai@chinatelecom.cn，提交《TeleChat模型社区许可协议》要求的申请材料。审核通过后，将特此授予您一个非排他性、全球性、不可转让、不可再许可、可撤销的商用版权许可。

表第二条VPN连接参数说明 参数 说明 取值参数 名称 VPN连接的名称。 vpn002 网关IP 选择VPN网关已绑定的备EIP。 2.2.2.2 本端隧道接口地址 VPN网关的Tunnel隧道IP地址。 169.254.71.1 对端隧道接口地址 对端网关的Tunnel隧道IP地址。 169.254.71.2 5. 配置对端网关信息。 根据对端网关类型不同，配置操作可能存在差异。 结果验证 大约5分钟后，查看VPN连接状态。 选择“虚拟专用网络 > 企业版VPN连接”，两条VPN连接状态显示为正常。 用户数据中心内服务器和VPC子网内服务器可以相互Ping通。

漏洞扫描及验证 通过网站安全监测系统平台，在无需用户采购任何Web应用扫描产品前提下，即可获得网站的漏洞态势，以及每个漏洞的详情介绍和修补建议；统计分析看板直观获取不同等级漏洞类型、易受攻击目标等数据，漏洞趋势分析摸底网站漏洞发展情况，同时兼具实时大屏态势感知功能方便跟踪漏洞发生大盘状态，方便及时作出处置。 服务支持远程扫描Web漏洞和按照国际权威安全机构WASC分类的25种Web应用漏洞，全面覆盖OWASP Top 10 Web应用风险。 如采购漏洞专家验证服务，还会提供针对中高危漏洞提供专家验证，确保漏洞真实存在，并协助客户完成漏洞复验，更好的完成漏洞生命周期管理。 安全事件监测 使用静态分析和动态解析相结合的主动挂马监测技术，通过解析引擎模拟环境监控记录URL页面运行行为，生成日志；通过后端引擎根据预定义规则高效、准确识别网站页面中的恶意代码，以及黄赌毒私服等词汇的恶意链接，使网站管理员能够及时清除网页木马及黑链，避免给访问者带来安全威胁，影响网站信誉。 使用前后页面对比的方式，辅以恶意文本核查分析，实时监测目标网站页面的篡改情况，支持监测静态文本内容的变化以及DOM树结构的变化；发现页面被篡改情况，第一时间通知用户，避免篡改事件影响扩散，给自身带来声誉和法律风险。 实时监测目标站点的页面内容，如出现个人敏感信息（包含手机号、银行卡号、身份证号码）泄露问题，第一时间告警通知客户。 内容安全监测 网站文本、图片内容的合规性监测，监测类别包含涉黄、涉毒、涉政、赌博、暴恐、邪教；支持监测的图像格式包括但不限于JPEG、GIF、PNG、BMP、TIFF、JPEG2000；支持监测的文本格式包括但不限于Big5、UTF8、GBK、GB2312，内容类型至少支持txt、html、wmlc、wml、xhtml、mht。 基于大量数据训练的深度学习模型，对待监测页面进行文本、图片元素的敏感内容监测，输出相关敏感信息和类别。 发现页面出现敏感信息后，第一时间通知用户。用户可参考天翼云提供的安全建议及时删除敏感内容，避免事件影响扩散，给自身带来声誉和法律风险。用户也可以自定义所关心的敏感关键词。 可用性监测 多线路远程实时监测目标站点在多种网络协议下的响应速度、可访问性等反映网站性能状况的内容，一旦发现网站无法访问，或访问出现延迟。根据事先定义好的网站通断级别，第一时间通知用户。风险日志详细展示存在的访问性问题，问题时长以及各监测点的诊断信息。用户也可以视情况选择合适的网站响应时间告警阈值。 DNS监测 从各省运营商网络线路远程实时监测各地主流ISP的DNS缓存服务器和用户DNS授权服务器的解析过程及结果。一旦发现用户域名无法解析或解析不正确，第一时间通知用户。避免出现由于DNS解析失败产生的网站无法访问，以及域名劫持等安全风险。 业务管理能力 提供态势感知大屏服务，满足客户大屏监控场景需求，以一站式全局视角，实时跟踪目标系统的风险情况，及时定位问题。 提供在线统计分析看板服务，态势感知帮助用户进行业务指标跟踪，能够多维度展示监测数据情况，数据统计分析能力赋能用户分析聚焦漏洞问题。 提供网站安全评估报告和漏洞扫描报告生成和下载服务，聚合任务监测的风险结果，让您整体掌握网站的风险状况及安全趋势。

本章主要介绍翼MapReduce的修改admin密码功能。 操作场景 “admin”是FusionInsight Manager的系统管理员帐号，建议用户通过FusionInsight Manager定期修改密码，提高系统安全性。 操作步骤 1.登录FusionInsight Manager。 需使用“admin”登录。 2.移动鼠标到界面右上角的“Hello, admin”。 在弹出菜单中单击“修改密码”。 3.分别输入“旧密码”、“新密码”、“确认新密码”，单击“确定”完成修改。 默认密码复杂度要求： 密码字符长度为8～64位。 至少需要包含大写字母、小写字母、数字、空格、特殊字符5种类型字符中的4种。支持的特殊字符为~!?,.;'(){}[]/<>@$%^&+。 不可和用户名相同或用户名的倒序字符相同。 不可以为常见的易破解密码。 不可与最近N次使用过的密码相同，N为密码策略配置章节中“重复使用规则”的值。

欺诈类 包括但不限于以下违规内容的信息： 以网站链接提示虚假的中奖信息，以奖金/奖物的中奖信息诱惑用户等； 为诈骗APP、应用程序提供分发服务下载链接； 发布钓鱼网站、伪造仿冒正规网站，盗取用户相关信息，诱使用户上当受骗蒙受损失； 运营、介绍、讲解、分析、推销、支持被官方认定为网络传销的虚拟货币； 散播传销、电信诈骗等信息； 虚假金融投资、虚假信用卡待办、网络赌博诈骗等，导致用户出现资金损失； 以虚假交易、交友（杀猪盘）、兼职刷单等手段在网上骗取他人财物； 以非法占有为目的，用虚构事实或者隐瞒真相的方法，骗取款额较大的公私财物的行为； 为电信网络诈骗活动提供支持或者帮助的其他行为。 相关法律法规参考：《最高人民法院、最高人民检察院关于办理诈骗刑事案件具体应用法律若干问题的解释》、《中华人民共和国刑法》、《中华人民共和国反电信网络诈骗法》、《全国人民代表大会常务委员会关于维护互联网安全的决定》。 色情低俗类 包括但不限于以下违规内容的信息： 以音像、图文内容等方式发布含有色情的内容，包括但不限于情色电影、视频、直播、三级片、动漫、读物、漫画、写真、音频等；直接或隐晦表现性行为、具有挑逗性或者侮辱性内容，或以带有性暗示、性挑逗的语言描述性行为、性过程、性方式的其他色情低俗内容。 发布含有色情信息的软件或服务，包括但不限于提供聊天、交友、招嫖、一夜情、性伴侣相关的软件，提供色情内容下载工具（如色情电影种子、搜索工具等）； 发布色情论坛、成人论坛、含有情色低俗内容的资源站点，以及与其相关的账号、链接、邀请码等。 传播非法性药品、性保健品、性用品和性病营销信息等相关内容。 《全国整治互联网低俗之风专项行动工作方案》中公布的低俗内容界定标准： （1）表现或隐晦表现性行为、令人产生性联想、具有挑逗性或者侮辱性的内容。 （2）直接暴露和描写人体性部位的内容。 （3）对性行为、性过程、性方式的描述或者带有性暗示、性挑逗的内容。 （4）对性部位描述、暴露，或者只用很小遮盖物的内容。 （5）全身或者隐私部位未着衣物，仅用肢体掩盖隐私部位的内容。 （6）带有侵犯个人隐私性质的走光、偷拍、漏点等内容。 （7）以庸俗和挑逗性标题吸引点击的。 （8）相关部门禁止传播的色情、低俗小说，音视频内容，包括一些电影的删节片段。 （9）传播一夜情、换妻、SM 等不正当交友信息。 （10）情色动漫。 （11）宣扬血腥暴力、恶意谩骂、侮辱他人等内容。 （12）非法“性药品”广告和性病治疗广告等相关内容。 （13）未经他人允许或利用“人肉搜索”恶意传播侵害他人隐私信息。 相关法律法规参考：《中华人民共和国治安管理处罚法》、《中华人民共和国刑法》、《全国人民代表大会常务委员会关于维护互联网安全的决定》等相关法律法规

1. 连接至数据库并建表 建表语句如下： CREATE TABLE ukpricepaid ( price UInt32, date Date, postcode1 LowCardinality(String), postcode2 LowCardinality(String), type Enum8('terraced' 1, 'semidetached' 2, 'detached' 3, 'flat' 4, 'other' 0), isnew UInt8, duration Enum8('freehold' 1, 'leasehold' 2, 'unknown' 0), addr1 String, addr2 String, street LowCardinality(String), locality LowCardinality(String), town LowCardinality(String), district LowCardinality(String), county LowCardinality(String) ) ENGINE MergeTree ORDER BY (postcode1, postcode2, addr1, addr2); 2. 预处理并插入数据 我们将使用url函数将数据流式传输到云数据库ClickHouse中。我们首先需要对一些传入的数据进行预处理，包括： 下面将邮政编码拆分为两个不同的列 postcode1和postcode2，这样更适合存储和查询。 将时间字段转换为日期，因为它只包含00:00时间。 忽略UUid字段，因为在分析中不需要它。 使用transform函数将type和duration转换为更易读的枚举字段。 将isnew字段从单字符字符串（Y/N）转换为UInt8字段，取值为0或1。 删除最后两列，因为它们的值都相同（为0）。 url函数将数据从Web服务器流式传输到您的云数据库ClickHouse表中。以下命令将向ukpricepaid表中插入500万行数据： INSERT INTO ukpricepaid WITH splitByChar(' ', postcode) AS p SELECT toUInt32(pricestring) AS price, parseDateTimeBestEffortUS(time) AS date, p[1] AS postcode1, p[2] AS postcode2, transform(a, ['T', 'S', 'D', 'F', 'O'], ['terraced', 'semidetached', 'detached', 'flat', 'other']) AS type, b 'Y' AS isnew, transform(c, ['F', 'L', 'U'], ['freehold', 'leasehold', 'unknown']) AS duration, addr1, addr2, street, locality, town, district, county FROM url( ' 'CSV', 'uuidstring String, pricestring String, time String, postcode String, a String, b String, c String, addr1 String, addr2 String, street String, locality String, town String, district String, county String, d String, e String' ) SETTINGS maxhttpgetredirects10; 输入命令并执行后请等待数据插入，等待时间取决于网络速度。

手机平板接入SSL VPN的注意事项有哪些？ 手机版本有要求：支持安卓4.0或以上版本，支持苹果iOS9.0+。 手机上的EasyConnect客户端需要是ec7.X的版本，手机上下载EasyConnect的App方法是：苹果手机在App Store里面下载，安卓手机在谷歌官方电子市场里面下载，或安卓手机打开SSL VPN客户端网页，点击本地下载。 苹果iOS手机安全性比较高，有指纹解锁，在使用EasyConnect接入的时候弹出allow的时候必须点击allow。 移动端用户需要关联L3VPN类型资源，才能正常使用SSL VPN。 SSL VPN客户端默认的接入端口为何无法访问？ 客户端拨入SSL VPN隧道的默认端口是TCP443，打开方式是电脑打开浏览器，地址栏输入 VPN后请在 > SSL VPN选项 > 系统选项 > 接入选项”的用户访问入口修改下SSL客户端接入端口，将443改成4433或其他端口，然后在天翼云的SSL VPN云主机安全组里面放通相应的SSL客户端端口（比如改成了TCP4433端口，那客户端接入SSL VPN隧道是打开 客户端环境诊断修复工具？ 如果客户端环境比较复杂，无法快速定位问题实现修复，则可以通过客户端环境诊断修复工具，进行一键排查修复。 在SSL VPN客户端登录界面右上角，选择诊断工具，在弹出的网页中点击蓝色的“点击下载”按钮下载诊断工具。

不允许匿名登录FTP服务器 localenableYES 允许本地用户登录FTP服务器 localroot/var/ftp/work01 FTP本地用户使用的文件目录 设置以下参数，限制用户只能访问自身的主目录。 chrootlocaluserYES 所有用户都被限制在其主目录 chrootlistenableYES 启用例外用户名单 chrootlistfile/etc/vsftpd/chrootlist 例外用户名单 allowwriteablechrootYES 被动模式除了需要配置主动模式所需的所有参数外，还需要配置的参数如下： 设置以下参数，配置FTP支持被动模式。并指定FTP服务器的公网IP地址，以及可供访问的端口范围，端口范围请根据实际环境进行设置。 listenYES listenipv6NO pasvaddressxx.xx.xx.xx FTP服务器的公网IP地址 pasvminport3000 被动模式下的最小端口 pasvmaxport3100 被动模式下的最大端口 3. 按Esc键退出编辑模式，并输入:wq保存后退出 6. 在“/etc/vsftpd/”目录下创建“chrootlist”文件。 plaintext touch chrootlist “chrootlist”文件是限制在主目录下的例外用户名单。如果需要设置某个用户不受只可以访问其主目录的限制，可将对应的用户名写入该文件。如果没有例外也必须要有“chrootlist”文件，内容可为空。 7. 执行以下命令重启vsftpd服务使配置生效。 plaintext service vsftpd restart 设置安全组 搭建好FTP站点后，需要在弹性云主机安全组的入方向添加一条放行FTP端口的规则，具体步骤参见虚拟私有云安全组添加安全组规则。 根据FTP的不同模式需要放通的端口如下： FTP为主动模式时：端口21。 FTP为被动模式时：端口21，以及配置文件“/etc/vsftpd/vsftpd.conf”中参数“pasvminport”和“pasvmaxport”之间的所有端口。

本文主要介绍 连接问题。 选择和配置安全组 Kafka实例支持使用内网通过同一个VPC访问、通过DNAT访问和公网访问，访问实例前，需要配置安全组。 使用内网通过同一个VPC访问实例 步骤 1 客户端和实例是否使用相同的安全组？ 是，如果保留了创建安全组后，系统默认添加的入方向“允许安全组内的弹性云主机彼此通信”规则和出方向“放通全部流量”规则，则无需添加其他规则。否则，请添加下表所示规则。 表 安全组规则 方向 协议 端口 源地址 说明 入方向 TCP 9092 0.0.0.0/0 使用内网通过同一个VPC访问Kafka实例（关闭SSL加密）。 入方向 TCP 9093 0.0.0.0/0 使用内网通过同一个VPC访问Kafka实例（开启SSL加密）。 否，执行步骤2。 步骤 2 参考如下配置安全组规则。 假设客户端和Kafka实例的安全组分别为：sg53d4、DefaultAll。以下规则，远端可使用安全组，也可以使用具体的IP地址，本章节以安全组为例介绍。 客户端所在安全组需要增加如下规则，以保证客户端能正常访问Kafka实例。 表 安全组规则 方向 策略 协议端口 目的地址 出方向 允许 全部 DefaultAll 图配置客户端安全组 Kafka实例所在安全组需要增加如下规则，以保证能被客户端访问。 表安全组规则 方向 策略 协议端口 源地址 入方向 允许 全部 sg53d4 图 配置Kafka实例安全组

本文主要介绍使用IE9浏览器无法打开OBS管理控制台界面如何处理。 问题 在OBS管理控制台地址能够Ping通的情况下，为什么使用IE9浏览器无法打开OBS管理控制台界面？ 回答 检查浏览器的“Internet选项”中是否勾选SSL和TLS选项，若没有，则根据以下步骤处理后再重试。 步骤 1 打开IE9浏览器。 步骤 2 单击页面右上角的“设置”按钮，单击“Internet选项 > 高级”，勾选“使用SSL 2.0”，“使用SSL 3.0”，“使用TLS 1.0”，“使用TLS 1.1”，“使用TLS 1.2”，如下图所示。 步骤 3 单击“确定”。

本文将为您介绍什么是伸缩活动。 当您执行伸缩策略、修改伸缩组参数、健康检查等操作都会触发伸缩动作，这些动作的记录即为伸缩活动。例如增加云主机资源或减少云主机资源的过程。 伸缩活动的状态如下表所示： 状态 状态属性 状态说明 执行中 中间状态 此伸缩组正在执行伸缩活动。 成功 稳定状态 此伸缩组中执行完成且成功的伸缩活动，例如成功移入1台弹性云主机实例。 失败 稳定状态 此伸缩组中执行完成但失败的伸缩活动，伸缩失败原因可能为账户余额不足或者当前可用区内资源不足等。 伸缩活动通常有以下执行类型： 自动伸缩：根据伸缩策略进行的自动伸缩活动。 手动执行策略：用户手动执行策略导致的伸缩活动。 手动移入：用户手动向伸缩组内移入实例。 手动移出：用户手动将实例从伸缩组内移出。 新建伸缩组满足最低数量：创建伸缩组时触发该活动。当伸缩组配置的最小实例数大于0且未配置期望实例数时，伸缩组创建成功即触发伸缩活动，按伸缩配置创建云主机实例，使伸缩组实例数等于最小实例数。 修改伸缩组满足数量：伸缩组在服务过程中，若修改最大实例数量、最小实例数量，将触发伸缩组自动检查伸缩组内实例数是否满足最大、最小实例数限制，使伸缩组内实例数量满足数量限制要求。 健康检查移入：为替换伸缩组内不健康云主机实例而自动移入的弹性云主机实例。 健康检查移出：通过云主机健康检查或负载均衡健康检查检测出伸缩组内不健康云主机实例的自动移出。 期望实例数检查移入：当您为伸缩组设置了期望实例数，且伸缩组内当前实例数小于期望实例数时，会自动移入云主机实例，以确保伸缩组内始终保持期望实例数。 期望实例数检查移出：当您为伸缩组设置了期望实例数，且伸缩组内当前实例数大于期望实例数时，会自动移出云主机实例，以确保伸缩组内始终保持期望实例数。 新建伸缩组满足期望实例数量：创建伸缩组时触发该活动。若创建伸缩组时，配置了期望实例数，伸缩组创建成功即触发伸缩活动，按伸缩配置创建云主机实例，使伸缩组实例数等于期望实例数。

本文主要介绍如何将本地日志迁移到云日志服务。 操作场景 应用程序通常首先直接将运行日志输出到本地的文件中。当运维人员需要查询日志时，登录服务器，通过操作系统的文件查看工具，比如more，vim，grep等查询需要关注的日志内容。这种场景下，由于日志分布在各个服务器上，命令行操作易出错、服务器权限等限制因素造成日志查找效率低下。 利用云日志服务，可以获得以下优势： 数据集中存储，无需登录多台服务器查询，这在微服务架构下尤为重要； 快速检索日志，告别繁琐的命令行操作，提升故障处理效率； 实时检测异常日志，设置告警，提升故障响应时效。 前置条件 开通云日志服务； 应用服务部署在天翼云的云主机上。 接入步骤 1. 登录云日志服务控制台。 2. 左侧点击【日志接入】菜单，进入日志接入页面。选择云主机文本日志。 3. 选择日志单元。 1. 点击“所属日志项目”后的目标框，在下拉列表中选择具体的日志项目，若没有所需的日志项目，点击“所属日志项目”目标框后的“新建”，在弹出的创建日志项目页面创建新的日志项目。 2. 点击“所属日志单元”后的目标框，在下拉列表中选择具体的日志单元，若没有所需的日志单元，点击“所属日志单元”目标框后的“新建”，在弹出的创建日志单元页面创建新的日志单元。 4. 选择主机组。在主机组列表中选择一个或多个需要采集日志的主机组。 若没有所需的主机组，单击列表上方“新建主机组”，输入主机组名称，在已开通云主机列表中，选择您需要采集日志的目标云主机，点击下一步，选中的云主机将打包作为主机组。 5. 安装采集器。 1. Step1：创建终端节点。安装采集器前，您需要在云主机所在的VPC中创建终端节点，以建立与日志服务的连接通道。 您需要在当前页面检查云主机所在的VPC是否已创建终端节点。若终端节点状态为“未创建”，请点击页面中的【创建终端节点】按钮，并根据页面指引进行开通。 若终端节点状态为“已创建”，您可跳过该步骤。 2. Step2：安装采集器。 1. 首先获取您的AK和SK。如何获取AK/SK？ 2. 复制页面中的命令，并使用获取的AK、SK手动替换命令中的 {inputyourak} 和 {inputyoursk}。填写值时不需要添加 {}。 3. 以root用户登录待安装采集器的云主机，执行上述命令。当显示“Installed lmtagent successfully”时表示安装成功。 3. Step3：检查采集器状态。 点击【检测】按钮，稍等片刻后查看采集器状态，确保所有目标云主机的采集器状态均为已连通。若多次重试后仍无法连通，请查看常见问题中的“云主机采集器无法连通”进行问题排查。 4. 点击下一步。 6. 配置采集规则。 对日志采集设置具体的采集规则。具体请参考[采集配置](

本章主要介绍通过弹性公网IP访问 。 为了方便用户访问开源组件的Web站点，MRS集群支持通过为集群绑定弹性公网IP的方式，访问MRS集群上托管的开源组件。该方式更加简便易操作，推荐使用该方式访问开源组件的Web站点。 为集群绑定弹性公网IP并添加安全组规则 1.在集群详情页的“概览”页签，单击“IAM用户同步”右侧的“同步”进行IAM用户同步，待IAM用户同步成功后，在集群详情页会出现“组件管理”页签。 2.单击“集群管理页面”右侧的“前往 Manager”。 3.弹出访问MRS Manager页面，绑定弹性公网IP并添加安全组规则。仅首次访问该集群的组件开源站点时，需要如下配置。 a. 绑定弹性公网IP，在弹性公网IP下拉框中选择可用的弹性公网IP。若没有可用的弹性公网IP，请单击“管理弹性公网IP”创建弹性公网IP后在该页面引用。若创建集群时已绑定弹性公网IP，请跳过该步骤。 b. 选择待添加的安全组规则所在安全组，该安全组在创建群时配置。 c. 添加安全组规则，默认填充的是用户访问公网IP地址9022端口的规则。如需对安全组规则进行查看，修改和删除操作，请单击“管理安全组规则”。 说明 自动获取的访问公网IP与用户本机IP不一致，属于正常现象，无需处理。 9022端口为knox的端口，需要开启访问knox的9022端口权限，才能访问MRS组件。 d. 勾选“我确认xx.xx.xx.xx为可信任的公网访问IP，并允许从该IP访问MRS Manager页面。” e. 单击“确定”，进入登录页面，用户名使用“admin”，密码为创建集群时设置的admin密码。 4.登录Manager页面，选择“集群 > 服务 > HDFS > NameNode WebUI> NameNode( 主机名称 ，主)”，访问开源组件Web站点。此处仅以HDFS NameNode为例介绍，其他组件访问地址请参考开源组件Web站点页面提供的站点地址。

漏洞扫描服务的安全性如何保障？ 登录扫描过程中或客户需要代为执行基线配置检查脚本，应提供管理员权限的临时账号，并配置登录地址白名单，天翼云安全人员将通过堡垒机进行操作，操作有授权及审计，记录操作日志，报告中将记录各部分检查内容操作负责人员。当扫描检查完成后客户对临时账号进行销毁，并进行销毁验证。 漏洞扫描时会影响现有运行服务吗？ 漏洞扫描是无侵入式的服务，不会对现有运行的服务产生影响。 漏洞扫描服务能修复扫描出来的漏洞吗？ 不能。漏洞扫描服务是一款漏洞扫描工具，能为您发现您的资产存在的漏洞，不能进行资产漏洞修复，但漏洞扫描服务会为您提供详细的扫描结果以及修复建议，请您自行选择修复方法进行修复。 漏洞扫描服务可以扫描本地的物理服务器吗？ 漏洞扫描服务可以扫描本地的物理服务器。若需要扫描本地的物理服务器，需要满足本地网络可通外网。 主机扫描支持非天翼云主机吗？ 支持，目前支持Linux主机和Windows主机。

弱口令检测 通过弱口令字典，检测用户SSH、RDP等服务是否使用了弱密码，及时更改弱口令有效防备暴力破解入侵。 配置脆弱性检测 配置脆弱性检测也就是基线检查，指针对IT设备的安全特性，选择合适的安全控制措施，定义不同IT设备的最低安全配置要求，则该最低安全配置要求就称为安全基线，天翼云漏洞扫描服务平台整合操作系统、数据库等系统环境基线规范，通过基线规范逐项比对主机安全配置项的配置情况，发现配置薄弱点，反馈检查参数，针对加固，避免因配置薄弱导致的入侵风险。 专业的漏洞分析 漏洞扫描结束后扫描器将自动输出扫描结果，描述漏洞风险、漏洞数量以及整改建议，电信云安全专家对扫描器结果结合应用环境、最新业界安全形势、大数据分析、威胁情报分析等整理输出一份有深度、有广度的专业漏洞扫描评估报告，并提出切实可行的安全整改建议，帮助客户全面掌握漏洞风险态势，合理高效安排加固工作。

本文主要介绍了签约主体变更的影响。 自2021年11月11日（“变更日”）起，天翼云官网中原由中国电信股份有限公司云计算分公司（“云计算分公司”）向客户（又称“您”）提供的服务，将变更为天翼云科技有限公司（“天翼云科技公司”）向客户提供。经营主体（“签约主体”）变更将对您提现、开发票、合同申请等事项有所影响，敬请关注。 账户充值 在线支付 签约主体变更后，原有充值方式不受影响。 对公充值 签约主体变更后，对公充值账号也会相应变更，客户如需进行对公充值，请使用新的对公账号信息，操作流程请参考 汇款认领。天翼云对公账号信息变更如下： 变更前： 户名：中国电信股份有限公司云计算分公司 账号： 110060776018170076087 开户行：交通银行北京西单支行 行号：301100000162 变更后： 户名：天翼云科技有限公司 账号： 110060149013001879960 开户行：交通银行股份有限公司北京市分行营业部 行号：301100000023 申请提现 原路提现 签约主体变更后申请提现，系统会原路退回到相应的支付宝、微信、翼支付等充值账户。 银行卡提现 签约主体变更后申请提现，系统统一使用天翼云科技公司的银行账户退款，有可能出现收退款账户不一致问题。 举例：您向天翼云（云计算分公司）的银行账户充值10万元，实际消费8万元，剩余2万元。签约主体变更后，您申请银行卡提现2万元，天翼云使用新的银行账户（天翼云科技公司的银行账户）向您退款，收退款账户不一致。 开具发票

国产化算力需求 满足客户将大模型迁移至国产AI芯片的需求，提升模型的性能、灵活性、稳定性和可扩展性，强化国产AI系统的自主能力，避免外部技术制约的影响。 模型性能极致调优 基于国产算力，从训练和推理框架、数据前后处理、算子亲和性等方面入手优化，提升模型的MFU、TPS、训练精度等关键指标。 机器环境摸排检查 可根据具体情况，为客户软硬件、NPU健康状态、网络功能及性能、存储系统、镜像及容器和集群等进行必要的检查验证，可输出检测报告。 专家咨询和技术支持 为客户提供全方位的模型适配专家服务，支持客户进行专业咨询和模型跑通实践。

核心功能 我们提供易上手的开发者工具，丰富的编程语言生态，符合W3C标准的Service Worker API、Streams API、Web Crypto。 从而帮助企业网站在边缘节点上完成自定义鉴权、访问控制、内容改写、内容生成以及AB测试。 对比传统CDN处理流程，开发者平台在边缘节点直接处理客户的动态请求，大大减少回源次数，分担中心源站的计算压力。 相关术语 无服务器 Serverless 无服务器是一种云原生开发模型，可使开发人员专注构建和运行应用，而无需管理服务器。无服务器方案中仍然有服务器，但它们已从应用开发中抽离出来。云提供商负责置备、维护和扩展服务器基础架构等例行工作。开发人员可以简单地将代码打包到容器中进行部署。部署之后，无服务器应用即可响应需求，并根据需要自动扩容。公共云提供商的无服务器产品通常通过一种事件驱动执行模型来按需计量。因此，当无服务器功能闲置时，不会产生费用。 函数即服务 FaaS 函数即服务（FaaS：Function as a service）是一种事件驱动计算执行模型。开发人员编写代码逻辑，部署到完全由平台管理的函数运行时中，然后按需执行。与BaaS不同，FaaS可让开发人员拥有更大的掌控权力，他们可以创建自定义应用，而不依赖于包含预编写服务的库。 代码则部署到CDN加速平台管理的容器运行时中。具体而言，这些函数运行时具有以下特点： 无状态 让数据集成变得更加简单。 运行周期短 可以只运行非常短的时间。 事件触发 可在需要时自动运行。 这样，您只用为所需的计算能力付费，而不必管"闲置"的应用和服务器。 使用FaaS时，开发人员可以通过触发器调用无服务器应用。 触发器 用户绑定触发器和对应函数，来实现多种调用效果。目前支持HTTP触发器。 HTTP 路由 用户绑定HTTP触发器和对应函数后，访问CDN加速服务中托管域名的特定路由，即可在边缘节点调用起对应函数计算逻辑。 运行时 用于在边缘节点运行用户自定义函数的安全隔离环境。函数运行时所支持的编程语言，目前支持JavaScript。 开发者工具 开发人员使用命令行工具，在本地完成函数编写，构建，灰度上线。

参数 说明 备注 区域 必选参数。租户所在的区域，当前区域请在界面右上方选择。 建议选择和云主机同一个区域。 可用区 必选参数。同一区域内，电力和网络互相独立的地理区域。 建议选择和云主机同一个可用区。 存储类型 必选参数。包含标准型、标准型增强版、性能型和性能型增强版。 默认为标准型。说明创建成功后不支持更换存储类型， 如需更换只能新创建另一存储类型的文件系统，请根据业务情况事先规划存储类型。 容量（GB） 单个文件系统的最大容量，当文件系统的实际使用容量达到该值时， 您将无法对文件系统执行写入操作，需要进行扩容。 暂无法直接对SFS Turbo文件系统进行缩容操作，请根据实际需要设置文件系统的容量。 支持范围： 标准型：500GB～32TB 性能型：500GB～32TB 标准型增强版和性能型增强版：10TB～320TB 协议类型 必选参数。SFS Turbo文件系统支持的共享访问协议为NFS。 默认为NFS。 选择网络 必选参数。 选择VPC及其子网。 VPC：云主机无法访问不在同一VPC下的文件系统，请选择与云主机相同的VPC。 子网：子网是VPC内的IP地址块，同一个VPC下，子网网段不会重复。通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。 开启IPv6：勾选此参数表示开启IPv6，不勾选表示不开启IPv6，使用IPv4。 如果您想开启IPv6，开启IPv6前，请确保SFS Turbo文件系统所在的VPC和子网已开启IPv6配置。 开启IPv6后，SFS Turbo文件系统可在IPv6下运行，此时SFS Turbo文件系统通过IPv6进行通信。 说明 每个文件系统在创建时只可以添加一个VPC。可通过虚拟私有的VPC对等连接方式将两个或多个VPC互连，实现多VPC、跨VPC下的文件共享。 SFS Turbo文件系统支持创建文件系统的时候开启IPv6，创建完成的SFS Turbo文件系统不支持修改IPv6是否开启的策略。 首次创建IPv6文件系统，请确定“授权权限提醒”弹窗，确定授权后，SFS Turbo将在IAM下创建名称为“ServiceAgencyForSFSTurboIPv6”的委托并授权给账户opsvcefs。未授权将导致无法创建IPv6文件系统。委托创建完成后，请不要删除该委托，否则可能导致文件系统无法读写。 开启IPv6的文件系统需要使用域名挂载，不支持使用IP挂载。 安全组 必选参数。安全组起着虚拟防火墙的作用，为文件系统提供安全的网络访问控制策略。 用户可以在安全组中定义各种访问规则，当弹性文件服务加入该安全组后，即受到这些访问规则的保护。 创建SFS Turbo时，仅支持选择一个安全组。推荐SFS Turbo实例使用单独的安全组，与业务节点隔离。 安全组规则的配置会影响SFS Turbo的正常访问与使用，配置方法请参见《虚拟私有云用户指南》的“添加安全组规则”章节。 为了确保SFS Turbo能够被您的弹性云服务器访问，在成功创建SFS Turbo后，系统将自动放通SFS Turbo中NFS协议需要的安全组端口，以免文件系统挂载失败。 NFS协议所需要入方向的端口号为111、2049、2051、2052、20048。如您需要修改开放的端口，可以前往“网络控制台 > 访问控制 > 安全组”找到目标安全组进行修改即可。 名称 必选参数。用户自定义文件系统的名称。 只能由英文字母、数字和中划线“”组成， 创建的文件系统名称输入长度需大于4个字符并小于等于64个字符。

步骤二：购买弹性IP 步骤三：购买NAT网关及配置路由 参考：点这里 步骤四：配置SNA规则 进入上一步创建的NAT网关； 选择“添加SNAT”规则； “源网段类型”选择VPC内子网； 子网选择步骤一中确定的子网网段； 弹性ip选择步骤二中新建的弹性ip； 点击“确定”，完成SNAT规则添加。 步骤五：进入指定pod，测试连通性 在步骤一的pod列表中，选择pod，进行“远程登录”： 在命令窗口，执行“ping www.ctyun.com” 能ping通，说明pod内服务可以访问公网。

开启桌面网络互通策略 开启AI云电脑基础策略中的桌面网络互通，翼电教系统的学生端才能发现并连接到翼电教系统教师端。 1.进入“AI云电脑（政企版）”管理控制台； 2.打开“策略管理”目录，进入“基础策略管理”菜单； 3.点击教师AI云电脑使用的基础策略的“编辑”按钮，进入“编辑策略”菜单； 4.点击“网络控制”，开启“桌面网络互通”开关； 5.点击学生AI云电脑使用的基础策略的“编辑”按钮，进入“编辑策略”菜单； 6.点击“网络控制”，开启“桌面网络互通”开关。 说明 如果教师AI云电脑、学生AI云电脑使用同一个基础策略，仅需要开启一次“桌面网络互通”即可。 开启组播功能 开启AI云电脑关联的VPC的组播功能，翼电教系统教师端才能向翼电教系统学生端进行屏幕广播。 请联系电信客户经理或运维开通VPC“组播”功能，需提供省份、资源池、租户账号、VPC名称信息。 翼电教系统激活 开通教室端AI云电脑时订购的翼电教系统后，需通过极域厂商会发送邮件序列号进行激活。 1.购买翼电教系统后，极域厂商会通过邮件向客户发送正式序列号； 2.在教师AI云电脑桌面上，点击“翼电教系统”快捷方式，打开翼电教系统教师端； 3.在翼电教系统教师端，点击右上角的“菜单”按钮； 4.点击“关于翼电教系统...”，打开“授权信息”窗口； 5.点击“在线更新”，在窗口中输入极域厂商提供的正式序列号，即可完成翼电教系统激活； 6.如果教师AI云电脑未联网，可在第2步中点击“离线更新”，向极域厂商提供机器特征码，获取离线更新文件，扩展名为lic，在“离线更新”窗口中浏览并选择lic文件，完成翼电教系统激活。

VirtualService字段说明： 字段 类型 必选 说明 hosts string 否 流量转发规则匹配的主机名称，可以是DNS域名（支持前缀通配匹配）、ip或者在K8s里可以是服务的名称（推荐使用FQDN）。 Hosts字段适用于tcp和http流量路由规则，对于引用网格内部服务的规则，hosts字段必须是域名的形式，ip形式的hosts只能用到Gateway资源对象中。 gateways string 否 当前路由规则绑定的Gateway对象列表，可以是gatewayns/gatewayname的形式，如果不加命名空间前缀，默认引用当前命名空间下的网关。 http HTTPRoute 否 针对http流量的路由规则列表，适用于HTTP/HTTP2/GRPC协议。 tls TLSRoute 否 针对TLS和HTTPS协议的路由规则列表，通常基于TLS连接过程中的sni信息进行路由。 tcp TCPRoute 否 针对非HTTP和TLS协议的所有请求的路由规则。 exportTo string 否 定义了当前虚拟服务对哪些命名空间暴露，用于实现可见性控制；不定义的话默认对所有命名空间可见。 HTTPRoute定义了对HTTP1.1 、HTTP2 、gRPC的路由规则，字段说明如下： 字段 类型 必选 说明 name string No 路由名称，会被记录到访问日志中，主要用于定位问题用。 match HTTPMatchRequest No 路由匹配规则列表，一个match下面的多个匹配规则之间是and关系，必须同时满足；match之间是or的关系。 route HTTPRouteDestination No 路由配置，可以直接返回结果、重定向请求或者将请求转发到其他服务。 redirect HTTPRedirect No 用于返回301重定向。 directResponse HTTPDirectResponse No 用于返回固定的响应，在route和redirect为空的时候可以配置该字段。 delegate Delegate No 指定用于委托HTTPRoute的虚拟服务，当route和redirect为空时可以设置，委托的虚拟服务会和当前规则合并。 注意： 1.当前只支持一层委托。 2.委托的HTTPMatchRequest必须是根的严格子集，否则会有冲突，HTTPRoute将不会生效。 rewrite HTTPRewrite No 重写uri或者authority头部，不能与redirect一起使用；重写发生在转发请求之前。 timeout Duration No http请求的超时时间。 retries HTTPRetry No http请求重试策略。 fault HTTPFaultInjection No 客户端的故障注入策略（重试和超时策略将不生效）。 mirror Destination No 将流量镜像一份转发到指定的目标服务；该行为遵循尽最大努力原则，sidecar将不等待镜像结果返回。 mirrorPercentage Percent No 和mirror字段配合使用，定义镜像流量比例，默认为100%。 corsPolicy CorsPolicy No 跨域策略配置。 headers Headers No Header操作策略。

本节介绍智算套件产品优势。 高效管理 控制面全托管，统一纳管GPU、NPU、RDMA等异构智算资源，提供完善的监控、运维能力，解决企业在异构算力管理、资源效率、成本控制等方面的核心痛点。 智能调度 支持共享GPU、算力切分、拓扑感知、故障感知、优先级等调度策略，满足不同场景下客户对算力的细粒度把控。 断点续训 CheckPoint 秒级读写，主动感知故障事件和潜在风险，自动重调度和优雅容错，解决传统系统 “故障恢复慢、数据易丢失、人工干预成本高” 的痛点。 弹性伸缩 工作节点弹性伸缩，支持集群HPA与VPA，轻松应对业务负载波动，避免资源闲置，提升集群资源的利用率及调度能力。 推理加速 通过AI网关优化流量分配、KVCache减少重复计算、PD分离匹配阶段特性，大幅提升推理效率。 可观测 可视化GPU资源监控大盘，一键集群巡检，全链路日志监测，724告警策略，为AI业务的持续运营提供“全天候、无死角”的保障。

本小节介绍SSL VPN的应用场景。 企业核心业务安全接入场景 存在问题： 业务系统身份认证方式易被仿造；权限限制不明确，容易被黑客发起跳板攻击；访问业务系统时，终端同时访问互联网，引发泄密问题。 解决方案： 多种认证组合方式，增加身份验证的安全性。 严格限定系统访问权限；使用SSL VPN专线功能，访问内部业务时，同一个终端无法访问互联网，避免泄密事件发生及黑客利用。 第三方用户安全接入场景 存在问题： 接入终端系统、浏览器版本多样及安全状态不可控，除运维人员外，接入用户IT水平普遍不高。 解决方案： 提供更简单的VPN安装、使用环境；对接入终端进行严格安全检查，保证终端的合法合规性；业务系统统一发布、统一运维。 移动办公 存在问题： 出差和在家接入公司业务办公，网络安全状态不受控，数据传输容易被监听。 解决方案： 增加终端用户认证复杂度；严格限定系统访问权限；对接入终端进行严格安全检查；业务系统统一发布、统一运维。

本章节主要介绍翼MapReduce的初始化用户密码操作。 操作场景 用户如果遗忘密码或公共帐号密码需要定期修改时，管理员可通过FusionInsight Manager初始化密码。初始化密码后系统用户首次使用帐号需要修改密码。 说明 此操作仅支持“人机”用户。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“系统 > 权限 > 用户”。 3. 在要初始化密码用户所在行，选择“更多 > 初始化密码”。在弹出窗口中输入当前登录的管理员用户密码确认身份，单击“确定”，在确认对话框单击“确定”。 4. 填写“新密码”和“确认新密码”，单击“确定”。 默认密码复杂度要求： 密码字符长度最小为8位。 至少需要包含大写字母、小写字母、数字、空格、特殊字符5种类型字符中的4种。支持的特殊字符为~!@$%^&()+[{}];', /? 。 不可和用户名相同或用户名的倒序字符相同。 不可以为常见的易破解密码。 不可与最近N次使用过的密码相同，N为配置密码策略中“重复使用规则”的值。

本章主要介绍翼MapReduce的修改OMS Kerberos管理员密码功能。 操作场景 管理员应定期修改OMS Kerberos管理员“kadmin”的密码，以提升系统运维安全性。 修改此用户密码将同步修改Kerberos管理员密码。 操作步骤 1. 以omm用户登录任意管理节点。 2. 执行以下命令，切换到目录。 cd ${BIGDATAHOME}/omserver/om/meta0.0.1SNAPSHOT/kerberos/scripts 3. 执行以下命令，配置环境变量。 source componentenv 4. 执行以下命令，修改kadmin/admin密码。此操作对所有服务器生效。 kpasswd kadmin/admin 默认密码复杂度要求： 密码字符长度最小为8位。 至少需要包含大写字母、小写字母、数字、特殊字符~!?,.;'(){}[]/<>@$%^&+中的4种类型字符。 不可和用户名相同或用户名的倒序字符相同。 不可以为常见的易破解密码，例如Admin@12345。 不可与最近N次使用过的密码相同，N为密码策略配置中“重复使用规则”的值。

数据库实例绑定公网IP与网络安全策略的配置流程 申请公网IP并绑定到ECS实例。 具体可参考天翼云ECS绑定公网IP相关文档绑定弹性公网IP。 ECS实例与目标数据库实例的网络ACL和安全组配置。 具体可参考同VPC通过VPC网络接入天翼云文档，区别的点是放通ECS实例的公网IP和DTS实例的公网IP。 数据库添加白名单。 自建数据库需要添加【DTS实例的配置流程】中配置的公网IP远程访问数据库的权限。不同类型的数据库添加白名单的方法可能不一样，具体可参考各数据库官方文档进行操作。

步骤四：挂载测试 1. 在文件系统详情页获取VPC终端节点IP。 2. 登录裸金属客户端，使用 curl [终端节点IP]:2049命令测试网络连通性。登录方法参考登录物理机物理机快速入门。当服务能curl 通时，将返回以下结果： 3. 使用以下命令挂载文件系统： 注意 请务必在挂载时使用noresvport参数，防止文件系统卡住。 plaintext mount t nfs o vers3,prototcp,async,nolock,noatime,nodiratime,noresvport,wsize1048576,rsize1048576,timeo600 挂载地址 本地路径

检查网络状态 5. 在ZooKeeper实例所在Linux节点使用ping命令，看能否ping通其他ZooKeeper实例所在节点的主机名。 是，执行步骤9。 否，执行步骤6。 6. 修改“/etc/hosts”中的IP信息，添加主机名与IP地址的对应关系。 7. 再次执行ping命令，查看能否在该ZooKeeper实例节点ping通其他ZooKeeper实例节点的主机名。 是，执行步骤8。 否，执行步骤23。 8. 在“运维 > 告警 > 告警”页签，查看该告警是否恢复。 是，处理完毕。 否，执行步骤9。 检查KrbServer 服务状态（普通模式集群跳过此步骤） 9. 在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务”。 10. 查看KrbServer服务是否正常。 是，执行步骤13。 否，执行步骤11。 11. 参考“ALM25500 KrbServer服务不可用”进行处理，查看KrbServer服务是否能够恢复。 是，执行步骤12。 否，执行步骤23。 12. 在“运维 > 告警 > 告警”页签，查看该告警是否恢复。 是，处理完毕。 否，执行步骤13。 检查ZooKeeper服务实例状态 13. 在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 >ZooKeeper > quorumpeer”。 14. 查看ZooKeeper各实例是否正常。 是，执行步骤18。 否，执行步骤15。 15. 选中运行状态不为良好的实例，选择“更多 > 重启实例”。 16. 查看实例重启后运行状态是否为良好。 是，执行步骤17。 否，执行步骤18。 17. 在“运维 > 告警 > 告警”页签，查看该告警是否恢复。 是，处理完毕。 否，执行步骤18。 检查磁盘状态 18. 在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 >ZooKeeper > quorumpeer”查看ZooKeeper实例所在的各节点主机信息。 19. 在FusionInsight Manager首页，单击“主机”。 20. 在“磁盘”列，检查ZooKeeper实例所在的各节点数据磁盘空间是否不足（使用率超过百分之80）。 是，执行步骤21。 否，执行步骤23。 21. 参考“ALM12017 磁盘容量不足”进行处理，对磁盘进行扩容。 22. 在“运维 > 告警 > 告警”页签，查看该告警是否恢复。 是，处理完毕。 否，执行步骤23。

本文主要介绍使用CoreDNS实现自定义域名解析。 应用现状 在使用CCE时，可能会有解析自定义内部域名的需求，例如： 存量代码配置了用固定域名调用内部其他服务，如果要切换到Kubernetes Service方式，修改配置工作量大。 在集群外自建了一个其他服务，需要将集群中的数据通过固定域名发送到这个服务。 解决方案 使用CoreDNS有以下几种自定义域名解析的方案。 为CoreDNS配置存根域：可以直接在控制台添加，简单易操作。 使用 CoreDNS Hosts 插件配置任意域名解析：简单直观，可以添加任意解析记录，类似在本地/etc/hosts中添加解析记录。 使用 CoreDNS Rewrite 插件指向域名到集群内服务：相当于给Kubernetes中的Service名称取了个别名，无需提前知道解析记录的IP地址。 使用 CoreDNS Forward 插件将自建 DNS 设为上游 DNS：自建DNS中，可以管理大量的解析记录，解析记录专门管理，增删记录无需修改CoreDNS配置。 注意事项 CoreDNS修改配置需额外谨慎，因为CoreDNS负责集群的域名解析任务，修改不当可能会导致集群解析出现异常。请做好修改前后的测试验证。 为CoreDNS配置存根域 集群管理员可以修改CoreDNS Corefile的ConfigMap以更改服务发现的工作方式。 若集群管理员有一个位于10.150.0.1的Consul域名解析服务器，并且所有Consul的域名都带有.consul.local的后缀。 步骤 1 登录CCE控制台，单击集群名称进入集群。 步骤 2 在左侧导航栏中选择“插件管理”，在“已安装插件”下，在CoreDNS下单击“编辑”，进入插件详情页。 步骤 3 在“参数配置”下添加存根域。 修改stubdomains参数，格式为一个键值对，键为DNS后缀域名，值为一个或一组DNS IP地址，如下所示。 { "stubdomains": { "consul.local": [ "10.150.0.1" ] }, "upstreamnameservers": [] } 步骤 4 单击“确定”。 也可以通过修改ConfigMap，直接按如下方式添加。 $ kubectl edit configmap coredns n kubesystem apiVersion: v1 data: Corefile: .:5353 { bind {$PODIP} cache 30 errors health {$PODIP}:8080 kubernetes cluster.local inaddr.arpa ip6.arpa { pods insecure fallthrough inaddr.arpa ip6.arpa } loadbalance roundrobin prometheus {$PODIP}:9153 forward . /etc/resolv.conf { policy random } reload }consul.local:5353 { bind {$PODIP} errors cache 30 forward . 10.150.0.1 } kind: ConfigMap metadata: creationTimestamp: "20220504T04:42:24Z" labels: app: coredns k8sapp: coredns kubernetes.io/clusterservice: "true" kubernetes.io/name: CoreDNS release: cceaddoncoredns name: coredns namespace: kubesystem resourceVersion: "8663493" uid: bba871429f8d4056b8a694c3887e9e1d