本节主要介绍产品定义 应用编排服务（Application Orchestration Service，简称CTAOS）为企业提供应用上云的自动化能力，支持编排云上的主流云服务，实现在云上一键式的应用创建及云服务资源开通，提供高效的一键式云上应用复制和迁移能力。 通过AOS部署应用上云流程非常简单，您只需要编写好模板，并基于该模板创建堆栈。同时，AOS还提供了应用生命周期管理能力，如启动、变更、删除等。 图 AOS使用流程： 表 AOS使用流程说明 步骤 说明 :: 1. 编写模板 模板是一种遵循AOS语法规范的文本文件，描述了应用属性、云服务配置、应用与云服务之间的依赖关系。 支持自定义编写模板，您可以使用JSON或YAML格式来写作模板。自定义编写模板有两种方式，一种是直接在界面手动输入；另一种是在本地编辑，编辑完之后通过上传文件传到系统中。 通过 “自定义编写模板”编排部署资源YAML语法不支持使用Tab键，层次关系需要使用空格来对齐（空格个数为2的整数倍，如2、4、6、8等）。初次使用时，请注意避免此类错误。 2.创建堆栈 堆栈是应用程序、云服务资源的集合。堆栈将应用、云服务作为一个整体来进行创建、升级、删除等。

SQL纠错是一个专注于对错误SQL进行纠错的工具，它具有提高开发效率，降低学习成本等优势。它不仅支持MySQL、PostgreSQL等主流数据库，还能处理复杂查询，极大地提升数据查询的效率和准确性。 在查询窗口处执行SQL失败后会显示错误信息，SQL纠错可以根据错误SQL及错误信息返回修复后的SQL。 例如，您可以在天翼云DMS查询窗口处运行一条错误SQL语句“SELECT FROM history WHEREid1;”；执行后会在执行结果处显示报错信息，例如“no viable alternative at input 'SELECT FROM history WHEREid'”。 前提条件 当前实例为强管控模式。 当前实例未被禁用，且属于已登录状态。 支持数据库：MySQL，PostgreSQL，Sql Server，DRDS。 注意事项 请避免过于频繁发送消息，系统对消息的发送频率有限制。 要求查询窗口对应的实例属于未被禁用且已录入托管账密的强管控实例，只有满足如上条件的实例才能使用SQL纠错功能。 同一个问题的多次请求有一定概率返回不同的SQL，此为正常现象。 操作步骤 1. 登录DMS控制台。 2. 选择实例列表 双击对应实例的库/模式进入查询窗口。 3. 查询窗口处执行非权限问题的错误SQL语句后，点击尝试AI修复按钮进行纠错。 4. 点击接受按钮使用此条SQL语句。 SQL纠错功能按钮 尝试AI修复：在查询窗口处执行错误SQL时会报错并在执行结果处显示错误信息，在此可以点击尝试AI修复按钮，在AI修复框处会展示纠错前后SQL对比。 SQL接受/放弃：如果您对SQL修复提供的回答感到满意，可以点击接受按钮，新SQL会覆盖查询窗口中的原始SQL；如果您对SQL修改提供的回答感到不满意，可以点击放弃按钮，当前SQL修复框会消失。 SQL纠错重试：如果您对SQL助手生成的SQL感到不满意，可以点击重试按钮，系统将重新发起请求。 关闭SQL修复框：你可以通过点击SQL修复框右上角按钮来关闭对话框。

本页面主要介绍关系数据库MySQL版提供的SQL限流功能。 注意 仅西南1资源池支持该功能，I类型资源池不支持该功能，具体支持情况以控制台页面展示为准。更多资源池信息，请参见功能概览。 使用场景 SQL限流是指通过设置语句类型、关键字等匹配SQL语句，当所匹配的SQL语句超过设置的最大并发数时，数据库实例会拒绝执行此SQL，从而解决SQL并发数过高导致的实例不稳定问题。 可能引起SQL并发过高的场景有： 业务流量突增：出现缓存穿透、异常调用等情况，导致某类SQL并发数急剧上升。 慢查询堆积：未创建索引的SQL被大量调用，出现大量慢SQL，影响正常业务。 约束限制 仅MySQL8.0版本实例支持。 仅2025年8月之后新开通的实例才支持SQL限流功能。 仅支持设置最多100条限流规则。 一条规则最多支持1024字符的设置。 当恢复实例时，目标实例不会带上源实例的限流规则，需要重新设置。 只读实例的限流规则和主实例的一致，不允许单独设置只读实例的限流规则，但可以单独关闭只读实例的限流开关，即不限制。 创建限流规则 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例基本信息页面。 4. 单击SQL限流，进入SQL限流管理页面。 5. 单击设置限流开关，将其打开，打开后限流规则才会生效。 6. 单击创建限流规则，根据实际情况选择按照SQL语句限流或者库表维度限流。 7. 设置最大并发数，然后单击确定。 并发数取值范围：0~1000000，其中0表示拦截此语句（不执行）。 8. 在操作列，修改或者删除规则 。

本章节主要介绍翼MapReduce的相关模型操作。 多租户相关模型 多租户相关模型如下图所示。 上图中涉及的概念如下表所示。 相关概念说明 概念 说明 用户 用户是拥有用户名，密码等帐号信息的自然人，是大数据集群的使用者。多租户相关模型图中有三个不同的用户：用户A、用户B和用户C。 角色 角色是承载一个或多个权限的载体。权限是限定在具体对象上的，例如对HDFS中的“/tenant”目录的访问权限，这里权限就限定在“/tenant”目录这个具体对象上。多租户相关模型图中有四个不同的角色：角色“t1”、角色“t2”、角色“t3”和角色“Managertenant”。 角色“t1”、角色“t2”和角色“t3”为创建租户时，集群自动生成的角色，角色名和租户名相同，分别对应租户“t1”、租户“t2”和租户“t3”，不能单独使用。 角色“Managertenant”为集群中本身存在的角色，不能单独使用。 租户 租户是从大数据集群中划分出的资源集合。多个不同的租户统称为多租户，租户内部进一步划分出的资源集合是子租户。多租户相关模型图中有三个不同的租户：租户“t1”、租户“t2”和租户“t3”。 资源 计算资源包括CPU和内存。租户的计算资源是从集群总计算资源中划分出的，租户之间不可以互占计算资源。多租户相关模型图中：计算资源1、计算资源2和计算资源3分别是租户“t1”、租户“t2”和租户“t3”从集群中划分出的计算资源。 存储资源包括磁盘或第三方存储系统。租户的存储资源是从集群总存储资源中划分出的，租户之间不可以互占存储资源。多租户相关模型图中：存储资源1、存储资源2和存储资源3分别是租户“t1”、租户“t2”和租户“t3”从集群中划分出的存储资源。 若用户想要使用租户资源或为租户添加/删除子租户，则需要同时绑定该租户对应的角色和角色“Managertenant”。在多租户相关模型图中，各用户绑定的角色如下表所示。 用户 绑定的角色 权限 用户A 角色“t1” 角色“t2” 角色“Managertenant” 使用租户“t1”和租户“t2”的资源。 为租户“t1”和租户“t2”添加/删除子租户。 用户B 角色“t3” 角色“Managertenant” 使用租户“t3”的资源。 为租户“t3”添加/删除子租户。 用户C 角色“t1” 角色“Managertenant” 使用租户“t1”的资源。 为租户“t1”添加/删除子租户。 用户和角色是多对多的关系，一个用户可以绑定多个角色，一个角色可以被多个用户绑定。用户通过绑定角色和租户建立关系，因此用户和租户也是多对多的关系。一个用户可以使用多个租户的资源，多个用户也可以使用同一个租户的资源，例如多租户相关模型图中，用户A使用租户“t1”和租户“t2”的资源，用户A和用户C都使用租户“t1”的资源。 说明 “父租户”、“子租户”、“一级租户”、“二级租户”的概念是针对客户的多租户业务场景设定的，注意与FusionInsight Manager上的“叶子租户资源”和“非叶子租户资源”的概念区别。 一级租户：按照租户所在层级确定名称，如最初创建的租户为一级租户，一级租户的子租户为二级租户。 父租户与子租户：用来表述租户间上下层级关系的称呼。 非叶子租户资源：创建租户时，选择的租户类型，该类型可以创建子租户。 叶子租户资源：创建租户时，选择的租户类型，该类型不可以创建子租户。

本文为您介绍同步/删除天翼云对象存储桶的具体操作。 同步天翼云对象存储桶 使用条件 单次同步天翼云对象存储资源上限为10个。 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击管理控制台左上角的，选择区域。 3. 在服务列表选择“计算”“多活容灾服务”，进入多活容灾服务控制台。 4. 点击左侧菜单栏“资源管理”“对象存储”，进入对象存储列表页。 5. 点击页面右上角“同步天翼云对象存储桶”按钮，弹出同步天翼云对象存储弹窗。 6. 选择资源所属地域，选中同步的对象存储实例，点击“确定”按钮，完成对象存储同步操作。 删除天翼云对象存储桶 使用条件 仅未被容灾管理中心关联的对象存储允许删除。 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击管理控制台左上角的，选择区域。 3. 在服务列表选择“计算”“多活容灾服务”，进入多活容灾服务控制台。 4. 点击左侧菜单栏“资源管理”“对象存储”，进入对象存储列表页。 5. 选中对象存储列表中需删除的对象存储，点击列表上方“删除”按钮，弹出删除对象存储弹窗。 6. 确认需删除的对象存储和相关信息后，若存在不可进行删除操作的对象存储时，可点击“点击查看”按钮查看实例及不可删除原因。点击“确认”按钮，完成对象存储实例删除操作。

本文为您介绍同步/删除天翼云负载均衡的具体操作。 同步天翼云负载均衡 使用条件 单次同步天翼云负载均衡实例上限为10个。 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击管理控制台左上角的，选择区域。 3. 在服务列表选择“计算”“多活容灾服务”，进入多活容灾服务控制台。 4. 点击左侧菜单栏“资源管理”“负载均衡”，进入负载均衡列表页。 5. 点击页面右上角“同步天翼云负载均衡”按钮，弹出同步天翼云负载均衡弹窗。 6. 选择资源所属地域，选中同步的负载均衡实例，点击“确定”按钮，完成负载均衡实例同步操作。 删除天翼云负载均衡 使用条件 仅未被容灾管理中心关联的负载均衡允许删除。 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击管理控制台左上角的，选择区域。 3. 在服务列表选择“计算”“多活容灾服务”，进入多活容灾服务控制台。 4. 点击左侧菜单栏“资源管理”“负载均衡”，进入负载均衡列表页。 5. 选中负载均衡列表中需删除的负载均衡，点击列表上方“删除”按钮，弹出删除负载均衡弹窗。 6. 确认需删除的负载均衡和相关信息后，若存在不可进行删除操作的负载均衡实例时，可点击“点击查看”按钮查看实例及不可删除原因。点击“确认”按钮，完成负载均衡实例删除操作。

本节为您介绍迁移网络与时长相关问题。 CMS迁移的网络需要具备哪些条件？ 源机、目标机需要能访问平台； 源机需要能够访问目标机； 由于迁移环境在公网上，可能会遭遇DDoS攻击，导致目标机PE系统内存溢出，目标机需要配置安全组策略，目标机入方向需放通8000（数据）、8001（控制）端口； 源机无需开通端口，但建议源端检查出方向是否放通所有端口。 具体步骤请参见检测目标机。 如何配置安全组 1. 进入安全组配置界面。 2. 展开安全组并单击“添加规则”。 3. 配置目标机入方向8000端口。 4. 再次单击“添加规则”按钮，配置目标机入方向8001端口。 5. 可以查看创建好的安全组规则。 为什么绑定目标机时提示：错误信息xx：源机IP(xx)：与目标机通信时出错：获取部署结果超时,检查目标机系统是否为linux x8664PE系统？ 您需要检查目标机系统是否正确； 您需要检查安全组是否放通，具体步骤请参见检测目标机。

RabbitMQ专享实例是否支持公网访问？ RabbitMQ专享实例支持公网访问。 在创建RabbitMQ专享实例的“更多”选项中，选择开启“公网访问”可自主控制是否进行公网访问，并选择已购买的弹性IP及带宽。或创建完后，在实例详情页中将公网访问开关打开。 RabbitMQ实例是否支持跨VPC和跨子网访问？ RabbitMQ实例支持跨VPC和子网访问，可以通过创建VPC对等连接，将两个VPC的网络打通，实现跨VPC访问实例。 SSL方式连接RabbitMQ实例失败？ 首先排查安全组的入方向规则，是否放开了端口5671（SSL方式访问）或5672（非SSL访问）。 其次，参考如下内容配置SSL单向认证： ConnectionFactory factory new ConnectionFactory(); factory.setHost(host); factory.setPort(port); factory.setUsername(user); factory.setPassword(password); factory.useSslProtocol(); Connection connection factory.newConnection(); Channel channel connection.createChannel(); 客户端是否可以通过DNAT方式访问RabbitMQ实例？ 可以。 为什么RabbitMQ集群只有一个连接地址？ RabbitMQ集群实例的连接地址，实际上是实例的LVS节点地址（负载均衡地址），客户端连接实例时，通过负载均衡器将客户端请求分发到集群实例的各个节点。 RabbitMQ实例集群的队列是否有备份？ RabbitMQ实例默认开启了镜像队列，会在集群中多个代理上备份队列的副本，当某个代理故障，集群会从其他正常的代理中选择一个代理，用来同步队列数据。

本节介绍如何查看证书信息。您可以查看证书的名称、绑定的域名和到期时间等详细信息。 前提条件 在WAF上创建了证书。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台右上角的，选择区域。 步骤 3 单击页面左上方的，选择“安全> Web应用防火墙（独享版）”。 步骤 4 在左侧导航树中，选择“对象管理> 证书管理”，进入“证书管理”页面。 步骤 5 查看证书信息，相关参数说明如表所示。 参数名称 参数说明 名称 证书名称。 证书类型 仅支持“国际证书”。 到期时间 证书到期时间。 证书过期后，对源站的影响是覆灭性的，比主机崩溃和网站无法访问的影响还要大，且会造成WAF的防护规则不生效，建议您在证书到期前及时更新证书。 应用域名 已使用该证书的域名。域名与证书是一一对应的，同一个证书可以绑定到多个域名。 相关操作 当鼠标移到目标证书的名称后时，单击编辑按钮，您可以修改证书的名称。 说明 如果证书正在使用中，请先解除域名和证书的绑定关系，否则无法修改证书名称。 在目标证书所在行的“操作”列中，单击“查看”，您可以查看证书的证书文件和证书私钥信息。 在目标证书所在行的“操作”列中，单击“删除”，您可以删除该证书。

本节介绍天翼云电脑（公众版）可广泛应用于线上网课、个人办公等场景。 线上网课场景 场景特点： 学生临时上网课需要购买硬件，采购PC成本高，采购平板无法顺畅使用Windows软件。 推荐方案： 开通天翼云电脑（公众版） 方案优势： 1、云端授权按需订购，本地通过电视、机顶盒登录，极大节约成本。 2、在电视、机顶盒上流畅使用Windows教学应用，体验优于手机等小屏设备。 用户场景图： 个人办公场景 场景特点： PC有易故障、老化、存储不足等问题，电脑出现问题时用户无法快速解决故障。 推荐方案： 开通天翼云电脑（公众版）+还原策略 方案优势 ： 1、授权按需采购，配置弹性伸缩，节约办公PC采购、更新、折旧成本。 2、降低本地PC故障影响，确保办公体验。 3、办公桌面云端维持，提供极佳的远程办公体验。 用户场景图：

指标ID 指标名称 指标含义 取值范围 测量对象 监控周期（原始指标，本列监控周期值适用于KVM实例） cpuutil CPU使用率 该指标用于统计弹性云主机的CPU使用率。 单位：百分比 计算公式：单个弹性云主机CPU使用率 / 单个弹性云主机的CPU总核数。 0100% 弹性云主机 5分钟 memutil 内存使用率 该指标用于统计弹性云主机的内存使用率。 如果用户使用的镜像未安装UVP VMTools，则无法获取该监控指标。 单位：百分比 计算公式：该弹性云主机内存使用量 / 该弹性云主机内存总量。 0100% 弹性云主机 5分钟 diskutilinband 磁盘使用率 该指标用于统计弹性云主机的磁盘使用情况。 如果用户使用的镜像未安装UVP VMTools，则无法获取该监控指标。 单位：百分比 计算公式：弹性云主机磁盘使用容量 /弹性云主机磁盘总容量。 0100% 弹性云主机 5分钟 diskreadbytesrate 磁盘读带宽 该指标用于统计每秒从弹性云主机读出数据量。 计算公式：弹性云主机的磁盘读出的字节数之和 / 测量周期。 单位：字节/秒 byteout (rdbytes lastrdbytes) /时间差。 ≥ 0 弹性云主机 5分钟 diskwritebytesrate 磁盘写带宽 该指标用于统计每秒写到弹性云主机的数据量。 单位：字节/秒 计算公式：弹性云主机的磁盘写入的字节数之和 / 测量周期。 ≥ 0 弹性云主机 5分钟 diskreadrequestsrate 磁盘读IOPS 该指标用于统计每秒从弹性云主机读取数据的请求次数。 单位：请求/秒 计算公式：请求读取弹性云主机磁盘的次数之和 / 测量周期。 reqout (rdreq lastrdreq) /时间差。 ≥ 0 request/s 弹性云主机 5分钟 diskwriterequestsrate 磁盘写IOPS 该指标用于统计每秒从弹性云主机写数据的请求次数。 单位：请求/秒。 计算公式：请求写入弹性云主机磁盘的次数之和 / 测量周期。 reqin (wrreq lastwrreq) /时间差。 ≥ 0 request/s 弹性云主机 5分钟 networkincomingbytesrateinband 带内网络流入速率 该指标用于在弹性云主机内统计每秒流入弹性云主机的网络流量。 单位：字节/秒。 计算公式：弹性云主机的带内网络流入字节数之和/测量周期。 ≥ 0 Byte/s 弹性云主机 5分钟 networkoutgoingbytesrateinband 带内网络流出速率 该指标用于在弹性云主机内统计每秒流出弹性云主机的网络流量。 单位：字节/秒。 计算公式：弹性云主机的带内网络流出字节数之和 / 测量周期。 ≥ 0 Byte/s 弹性云主机 5分钟 networkincomingbytesaggregaterate 带外网络流入速率 该指标用于在虚拟化层统计每秒流入弹性云主机的网络流量。 单位：字节/秒。 计算公式：弹性云主机的带外网络流入字节数之和 / 测量周期。 当使用SRIOV时，无法获取该监控指标。 ≥ 0 Byte/s 弹性云主机 5分钟 networkoutgoingbytesaggregaterate 带外网络流出速率 该指标用于在虚拟化层统计每秒流出弹性云主机的网络流量。 单位：字节/秒。 计算公式：弹性云主机的带外网络流出字节数之和 / 测量周期。 当使用SRIOV时，无法获取该监控指标。 ≥ 0 Byte/s 弹性云主机 5分钟 networkvmconnections 网络连接数 该指标表示弹性云主机已经使用的TCP和UDP的连接数总和。 单位：个 ≥ 0 弹性云主机 5分钟 networkvmbandwidthin 虚拟机入方向带宽 虚拟机整机每秒接收的比特数，此处为公网和内网流量总和。 单位：比特/秒 ≥ 0 弹性云主机 5分钟 networkvmbandwidthout 虚拟机出方向带宽 虚拟机整机每秒发送的比特数，此处为公网和内网流量总和。 单位：比特/秒 ≥ 0 弹性云主机 5分钟 networkvmppsin 虚拟机入方向PPS 虚拟机整机每秒接收的数据包数，此处为公网和内网数据包总和。 单位：包/秒 ≥ 0 弹性云主机 5分钟 networkvmppsout 虚拟机出方向PPS 虚拟机整机每秒发送的数据包数，此处为公网和内网数据包总和。 单位：包/秒 ≥ 0 弹性云主机 5分钟 networkvmnewconnections 虚拟机整机新建连接数 虚拟机整机新建连接数，包括TCP协议、UDP协议以及ICMP协议等。 单位：个 ≥ 0 弹性云主机 5分钟 cpucreditusage CPU积分使用量 该指标表示积分型实例累积花费的CPU积分数。 单位：分。 计算公式：一个CPU积分等于一个vCPU按照100%利用率，运行1分钟。 说明 仅T6型支持。 ≥ 0 分 弹性云主机 5分钟 cpucreditbalance CPU积分累积量 该指标表示实例自启动后已累积获得的CPU积分数。 单位：分。 计算公式：根据Flavor定义，CPU积分/小时小时积分使用量。 说明 当累积积分超过上限以后，不再累积积分，初始积分不计入上限。 仅T6型支持。 ≥ 0 分 弹性云主机 5分钟 cpusurpluscreditbalance CPU超额积分累积量 该指标表示在“CPU积分累积量”为零时，实例花费的超额积分数。 单位：分。 计算公式：一个CPU积分等于一个vCPU按照100%利用率，运行1分钟。 说明 累积积分为0且服务器性能超过基准性能时，开始累积超额积分。 仅T6型支持。 ≥ 0 分 弹性云主机 5分钟 cpusurpluscreditcharged CPU超额积分收费量 该指标表示在“CPU积分累积量”为零时，实例花费的超额积分并需要收费的积分量。 单位：分。 计算公式：一个CPU积分等于一个vCPU按照100%利用率，运行1分钟。 说明 超额积分累积达到上限且服务器持续长时间超过基准使用率运行。 仅T6型支持。 ≥ 0 分 弹性云主机 5分钟

本小节介绍管理告警白名单。 白名单管理提供告警白名单的展示与删除功能，用户可以通过配置告警白名单避免大量告警误报的发生，提升安全事件告警质量。 告警白名单用于忽略告警，把当前告警事件加入告警白名单后，当再次发生相同的告警时不再进行告警。 在“安全告警事件”页面处理告警事件时，如果告警为误报，您可以将告警加入告警白名单。告警加入白名单后，后续主机安全平台不会再对该事件进行告警和统计。 约束限制 需开启旗舰版、网页防篡改版、容器版任一防护版本。 添加告警白名单 添加方式 说明 加入告警白名单 处理告警事件时，将告警事件加入到告警白名单。 以下类型的告警事件加入“告警白名单”： 反弹Shell 勒索软件 恶意程序 Webshell 进程异常行为 进程提权 文件提权 高危命令执行 恶意软件 关键文件变更 文件/目录变更 异常Shell Crontab可疑任务 非法系统帐号 一般漏洞利用 查看告警白名单 加入告警白名单后，您可以查看已添加的告警白名单，操作步骤如下所示。 1、登录管理控制台。 2、在页面左上角单击 ，选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在左侧导航树中，选择“入侵检测 > 白名单管理”，进入“白名单管理”页面。 4、选择“告警白名单”页签，查看已添加的告警白名单列表，参数说明如表79所示。 告警白名单列表参数说明 参数名称 参数说明 告警类型 白名单的告警类型名称。 SHA256 目标文件哈希。 路径 服务器文件路径。 数据来源 目标白名单的来源方式。

本章介绍函数工作流如何配置环境变量。 概述 环境变量可以在不修改代码的情况下，将动态参数传递到函数，调整函数的执行行为。 应用场景 区分多环境：相同的函数逻辑，可根据部署环境的不同，配置不同的环境变量以区分。例如，通过环境变量给测试和开发环境配置不同的数据库。 配置加密：函数中访问其他服务的认证信息，例如账号和密码，ak/sk，可通过配置加密环境变量，在代码中动态获取，保证敏感数据的安全。 动态配置：函数逻辑中需要动态调整的配置，例如查询周期、超时时间，可提取为环境变量避免业务每次变化都需要修改代码。 操作步骤 设置FunctionGraph函数的加密配置和环境变量，无需对代码进行任何更改，可以将设置动态参数传递到函数代码和库。 添加环境变量 例如Node.js语言加密配置和环境变量的值(value)可以通过Context类中的getUserData(string key)获取。 注意 设置加密配置、环境变量时，用户自定义的键(key)/值(value)，键(key)输入规范：可包含字母、数字、下划线，以大/小写字母开头。 设置“键”和“值”的总长度不超过4096个字符。 设置环境变量时，FunctionGraph会明文展示所有输入信息，请不要输入敏感信息（如帐户密码等），以防止信息泄露。 打开加密开关之后，界面上会对键值进行加密，参数传输过程中键值也处于加密状态。

本文为您介绍海量文件服务OceanFS产品相关规格,带您更快了解产品能力。 存储类型 OceanFS容量型是基于“HDD+SSD”的高性价比文件存储，数据节点和元数据节点独立部署，提供纠删码数据冗余机制，保障数据可靠性和服务高可用，故障迁移无感知。是一款高性能、高性价比的文件存储产品，适用于企业办公、高性能计算、高性能Web网站、日志存储等通用场景。 性能规格 参数 容量型 最大带宽 读：5GB/s 写：2GB/s 说明 读和写无法同时达到上述最大值，读写混合带宽最大5GB/s。 多台云主机可达到上述最大带宽，测试时建议使用多台云主机。 带宽大小与容量相关，但是由于有缓存，所以容量和性能的比例不容易体现。 最大IOPS 读：50000 写：10000 说明 IOPS大小与容量非线性相关。容量越大，性能越好，取决于实际压力情况。 最大OPS 读：7000 写：2000 时延 最低单路4K随机读写时延：10ms 说明 时延是指低负载情况下的最低延迟，非稳定时延。时延与容量无关。 单文件系统容量范围 按配置容量计费：100GB~4PB 按实际使用量计费：0~4PB 说明 单用户单地域默认容量配额为500TB，如需申请500TB以上文件系统，需要通过工单申请配额。

概述 当前CSM服务网格支持多集群架构，控制面采用非托管模式，部署在租户的云容器引擎集群上。多集群中部署网格控制面的集群称为主集群，添加的其他云容器引擎集群称为从集群，允许服务网格中多集群的命名空间不一致的情况。主集群命名空间关注数据面管理以及控制面配置，从集群命名空间只关注数据面管理。 sidecar自动注入 当前CSM服务网格支持基于命名空间标签的sidecar注入，给命名空间打上istioinjection: enabled标签后可以打开命名空间sidecar自动注入功能；当前主从集群的命名自动注入功能是独立配置的，在某个集群上给命名空间打上自动注入标签只影响当前集群上该命名空间pod的自动注入，不影响其他集群上同命名空间的自动注入。 服务网格CRD配置 CSM服务网格通过在主集群定义CRD，进一步由控制面服务消费和并下发到所有集群。因此对于一些有命名空间语义的CRD（如VirtualService，DestinationRule等），也就只能定义在主集群的命名空间中，并且对从集群中存在的相同命名空间生效。对于从集群中存在而主集群中不存在的命名空间，无法定义和生效相关的CRD。

本文为您介绍新增三方数据中心的具体操作。 概述 三方数据中心模块提供将用户三方数据中心接入多活容灾服务平台功能，新增三方数据中心后，可用于命名空间、容灾管理、预案编排功能中，实现云下云上场景下的灾备场景。 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击管理控制台左上角的，选择区域。 3. 在服务列表选择“计算”“多活容灾服务”，进入多活容灾服务控制台。 4. 点击左侧菜单栏“三方数据中心”，进入三方数据中心列表页。 5. 点击右上角“新增三方数据中心”按钮，弹出新增三方数据中心弹窗。 6. 填写数据中心名称、区域、可用区、描述信息。各配置项说明如下： 参数 是否必填 配置说明 数据中心名称 √ 填写数据中心名称，数据中心名称需唯一。 长度为263字符。 区域 × 选择或填写数据中心所在地域。 长度为263字符。 可用区 × 填写数据中心所在可用区。 长度为263字符。 描述 × 填写数据中心描述。 长度为0100字符。 7. 点击“确认”按钮，完成新增三方数据中心。

参数 参数类型 是否必填 示例 说明 下级对象 regionID String 是 81f7728662dd11ec810800155d307d5b 资源池ID alarmRuleID String 是 2c2472dff6335b4bbe459609fc9f8154 告警规则ID dimension String 是 ecs 本参数表示告警维度。取值范围：ecs：云主机。disk：磁盘。pms：物理机。...详见“ metric String 是 cpuutil 监控指标 fun String 是 avg 本参数表示告警采用算法。取值范围：last：原始值算法。avg：平均值算法。max：最大值算法。min：最小值算法。根据以上范围取值。 operator String 是 eq 本参数表示比较符。默认值le。取值范围：eq：等于。gt：大于。ge：大于等于。lt：小于。le：小于等于。根据以上范围取值。 value String 是 300 告警阈值，整数、小数或百分数格式字符串 period String 是 10m 本参数表示算法统计周期。默认值5m。参数fun为last时不可传。参数fun为avg、max、min均需填此参数。本参数格式为“数字+单位”。单位取值范围：m：分钟。h：小时。d：天。根据以上范围取值。 deviceUUID String 是 000f03221f4d8cc8bb2e1c30fb751aa5 资源唯一值

本章介绍天翼云关系型数据库如何查看和修改内网地址 操作场景 用户从线下或者其他云迁移到关系型数据库后要面对更改IP的问题，为减少客户业务更改，降低迁移难度。提供规划与更改内网IP方式，降低客户迁移成本。 约束限制 修改内网IP后域名需要几分钟重新解析地址导致数据库连接中断，请在业务停止期间操作。 仅支持修改IPv4内网地址。 操作步骤 在购买实例时，可在“服务选型”页面的网络部分，根据选择的子网自动配置内网地址。 对于创建完成的关系型数据库实例，支持更改内网地址。 步骤1 登录管理控制台。 步骤2 单击管理控制台左上角的，选择区域和项目。 步骤3 选择“数据库> 关系型数据库”。进入关系型数据库信息页面。 步骤4 在“实例管理”页面，选择指定的实例，单击实例名称，进入实例基本信息页面。 步骤5 在“基本信息”页“连接信息”模块“内网地址”处，单击“修改”。您也可以在左侧导航栏，单击“连接管理”，在“连接信息”模块“内网地址”处，单击“修改”。 步骤6 填写未被使用的内网地址，单击“是”。已使用IP地址，不能再作为实例的新内网地址。 结束

本节介绍对数据源的管理，可以启用停止/数据源。 在数据源监控中可以查看到已经接入到系统的数据源。可以直接通过开关对数据源进行开启或关闭，云安全中心会根据您的操作对数据源数据进行收取或拒绝收取。 注意事项 选择需要接入的数据源时，只能针对您已经购买的云产品。 启用数据源 1. 登录云安全中心控制台。 2. 在左侧导航栏，选择“设置 > 数据源监控”，打开数据源监控页面。 3. 选择需要接入的数据源，在操作列单击启用图标，启用数据源。 停止数据源 注意 停止数据源后，对应的“集成配置”将不允许操作。 1. 登录云安全中心控制台。 2. 在左侧导航栏，选择“设置 > 数据源监控”，打开数据源监控页面。 3. 选择需要停止的数据源，在操作列单击停止图标，停止数据源。

数据库迁移通用限制和约束 1. CDM以批量迁移为主，仅支持有限的数据库增量迁移，不支持数据库实时增量迁移。 2. CDM支持的数据库整库迁移，仅支持数据表迁移，不支持存储过程、触发器、函数、视图等数据库对象迁移。 3. CDM仅适用于一次性将数据库迁移到云上的场景，包括同构数据库迁移和异构数据库迁移，不适合数据同步场景，比如容灾、实时同步。 4. CDM迁移数据库整库或数据表失败时，已经导入到目标表中的数据不会自动回滚，对于需要事务模式迁移的用户，可以配置“先导入到阶段表”参数，实现迁移失败时数据回滚。极端情况下，可能存在创建的阶段表或临时表无法自动删除，也需要用户手工清理（阶段表的表名以“cdmstage”结尾，例如：cdmtetcdmstage）。 5. CDM访问用户本地数据中心数据源时（例如本地自建的MySQL数据库），需要用户的数据源可支持Internet公网访问，并为CDM集群实例绑定弹性IP。这种方式下安全实践是：本地数据源通过防火墙或安全策略仅允许CDM弹性IP访问。 6. 仅支持常用的数据类型，字符串、数字、日期，对象类型有限支持，如果对象过大会出现无法迁移的问题。 7. 仅支持数据库字符集为GBK和UTF8。 8. 字段名不可使用&和%。 关系数据库迁移权限配置 常见关系数据库迁移需要的最小权限级： MySQL：INFORMATIONSCHEMA库的读权限，以及对数据表的读权限。 Oracle：需要该用户有resource角色，并在tablespace下有数据表的select权限。 达梦：具有该schema下select any table的权限。 DWS：需要表的schema usage权限和数据表的查询权限 SQL Server：用户需要有sysadmin权限。 PostgreSQL：角色拥有数据库下schema下表的select权限。

云日志服务支持将日志一次性转储至对象存储服务（OBS）中长期保存。 前提条件 日志已接入LTS。 已创建OBS桶。 创建一次性日志转储 在云日志服务管理控制台，左侧导航栏中，单击“日志转储”。 在“日志转储”页面右上角，单击“配置转储”。 在“配置转储”页面，设置转储日志相关参数。 表 1 配置转储参数说明 参数名称 说明 样例 转储方式 周期性转储：日志将周期性的转储至对象存储服务（OBS）中长期保存。一次性转储：日志将一次性的转储至对象存储服务（OBS）中长期保存。 一次性转储 转储对象 选择转储的云服务。 OBS 日志组名称 选择已创建的日志组。 企业项目 选择已创建的企业项目。如果当前账号未开通企业项目则不显示该参数。 如果当前账号已开通企业项目，则存在以下情况：当转储当前账号日志时，下拉框显示当前账号的全部企业项目。 当转储其他账号日志时，若委托账号未开通企业项目，则默认显示“default”。 当转储其他账号日志时，若委托账号已开通企业项目，则显示委托账号的全部企业项目。 日志流名称 选择已创建的日志流。已配置过OBS转储的日志流不能重复配置。 过滤条件 默认关键词过滤，在输入框填写需要过滤的关键词。 转储时间范围 时间范围有三种方式，分别是相对时间、整点时间和自定义。您可以根据自己的实际需求，选择时间范围。 相对时间：表示查询距离当前时间1分钟、5分钟、15分钟等时间区间的日志数据。 例如当前时间为19:20:31，设置相对时间1小时，表示查询18:20:3119:20:31的日志数据。 整点时间：表示查询最近整点1分钟、15分钟等时间区间的日志数据。 例如当前时间为19:20:31，设置整点时间1小时，表示查询18:00:0019:00:00的日志数据。 自定义：表示查询指定时间范围的日志数据 日志总条数 日志总条数。 转储文件个数 单次一次性转储日志条数上限100万条，转储文件个数上限10个。 OBS桶 选择已创建的OBS桶。如果没有可选择的OBS桶，单击“查看OBS”，进入对象存储服务管理控制台，创建OBS桶。LTS目前仅支持存储类别为“标准存储”的OBS桶。 所属桶目录 所属OBS桶目录。 转储文件名称 自定义转储文件名称，只能由英文字母、数字、中划线、下划线、小数点组成。 转储格式 用于配置日志的转储格式，可选择原始日志格式、Json格式、CSV格式。 原始日志格式示例：云日志服务控制台展示的日志内容的格式为原始日志格式。 Sep 30 07:30:01 ecsbd70 CRON[3459]: (root) CMD (/opt/oss/servicemgr/ICAgent/bin/manual/mstart.sh > /dev/null 2>&1) JSON格式示例： { "hostname": "ecsbd70", "ip": "192.168.0.54", "lineno": 249,"message": "Sep 30 14:40:01 ecsbd70 CRON[4363]: (root) CMD (/opt/oss/servicemgr/ICAgent/bin/manual/mstart.sh > /dev/null 2>&1)n", "path": "/var/log/syslog", "time": 1569825602303 } CSV格式：以表格的形式展示日志内容。 Json 单击“确定”，完成配置。当转储任务状态为“正常”时，表示转储任务创建成功。 单击“转储对象”列的OBS桶名称，可以跳转至OBS控制台，查看转储的日志文件。 转储到OBS后的日志，支持从OBS下载到本地进行查看。

本文提供了天翼云AOne会议服务等级协议查看地址。 天翼云AOne会议服务等级协议，详情请参见这里。

本文为您介绍敏感操作保护的内容 操作场景 当主用户及子用户在控制台进行敏感操作时（如删除弹性云主机）, 操作保护将通过虚拟MFA、手机短信或邮箱等方式二次确认当前操作，避免误操作导致的损失。 操作步骤 开启操作保护 1. 管理员登录IAM控制台。 2. 点击左侧导航窗格的“概览 ”，进入“敏感操作”。 3. 点击“立即修改”，选择“开启”操作保护，当前支持主用户认证、操作用户认证以及指定人员认证。 其中，主用户认证代表所有操作保护认证由主用户验证。操作用户不限制主、子用户，触发敏感操作的用户自行验证。指定人员需验证需指定手机号。 注意 建议您开启敏感操作保护，优先选择“操作用户验证”，避免高危误操作带来的损失，同时支持验证的灵活性。 4. 在控制台执行相关敏感操作时，后台根据操作保护的配置以及采集的多因素验证信息（手机验证码、邮箱验证码、虚拟MFA等），通过弹窗的方式对用户的身份进行二次校验。如果验证通过，系统才会放行对应的操作行为，否则会阻止敏感操作。 以删除 IAM 用户，选择“操作用户验证”为例。当前支持操作用户手机验证、邮箱验证两种方式。

关闭自动根证书更新（V3.3.26.0） 升级到V3.3.26.0及以上的版本需要执行该操作，“V3.3.26.0”之前的版本不执行本章节的相关操作。 1 选择“管理模板 > 系统 > Internet 通信管理”，进入“Internet 通信管理”页面。 2 双击“关闭自动根证书更新”，打开设置窗口。 3 勾选“已启用”，启用关闭自动根证书更新。 4 单击“确定”，完成设置。 关闭自动根证书更新 证书路径验证设置（V3.3.26.0） 升级到V3.3.26.0及以上的版本需要执行该操作，“V3.3.26.0”之前的版本不执行本章节的相关操作。 1 选择“Windows设置 > 安全设置 > 公钥策略”，进入对象类型页面。 2 双击“证书路径验证设置”，打开设置窗口。 3 选择“网络检索”页签。 4 取消勾选“自动更新Microsoft根证书程序中的证书(推荐)(M)”。 “默认URL检索超时(以秒为单位)”的值设置为“1”。 5 单击“确定”，完成设置。 证书路径验证设置 刷新策略 1 关闭本地组策略编辑器，选择“开始 > 运行”，执行 gpupdate /force 。 2 刷新本地策略。 3 应用发布服务器部署完成，需要测试功能请将此服务器添加到云堡垒机。 安装RemoteApp程序 V3.3.26.0及以上版本需要在应用发布服务器中安装RemoteAppProxy跳板工具。

备案限制 1、网站、域名数量限制 1个IP可以备案5个网站。 2、不备案会有什么影响 如果网站域名没有办理备案就解析到天翼云的服务器上，将有可能被天翼云阻断并跳转到固定页面（提醒您尽快完成备案），通知删除解析后在规定时间内未删除解析，将有可能被天翼云关闭服务器的端口，请准备搭建网站的客户先备案再开通网站。 如果网站域名已存在备案号，但之前不是在天翼云备案的，也请您先办理接入备案，待接入备案通过通信管理局审核后，再解析到天翼云服务器。

参数 说明 InstanceId ECS ID，可通过登录管理控制台，在弹性云主机ECS列表中查看。 说明InstanceId可不用配置，保持"InstanceId":"",即可，若需要配置，需要遵循如下两条原则： 该资源ID需保证全局唯一性，即同一个RegionID下Agent使用的InstanceId不能相同，否则系统可能会出现异常。 InstanceId必须与实际的ECS或BMS资源ID一致，否则云监控服务界面将看不到对应ECS或BMS资源操作系统监控的数据。 ProjectId ProjectId可不用配置，保持"ProjectId": "",即可。若需要配置，请参考已下获取方式。 项目ID，获取方式如下： 1. 登录管理控制台，单击右上角“用户名”，选择“我的凭证”； 2. 在项目列表中，查看ECS或BMS资源对应的所属区域的项目ID。 AccessKey/SecretKey 访问密钥，获取方式如下：登录管理控制台，单击右上角“用户名”，选择“我的凭证 > 管理访问密钥”； 如已有访问密钥，查看创建时下载保存的credentials.csv文件中，获取文件中记录的Key值即可； 如未创建，则通过“新增访问密钥”可创建新的访问密钥，妥善保存credentials.csv文件，并获取文件中记录的Key值。 须知 为了安全考虑，建议该用户为IAM用户，并且权限仅为CES Administrator和LTS Administrator。 配置的AccessKey必须在“我的凭证 > 管理访问密钥”列表中，否则将鉴权失败，云监控服务界面看不到操作系统监控数据。 RegionId 区域ID，例如：ECS或BMS资源所属区域为“杭州”，则RegionID为“cnhz1”。 ClientPort Agent占用的起始端口号。说明默认为0，表示随机占用。11023为系统保留端口，建议不要配置。 PortNum Agent占用的范围的个数。说明默认为200，若ClientPort配置5000，则表示在50005199端口中随机占用。 BmsFlag BMS需配置此参数为true，ECS配置项中无需配置。Windows操作系统中无需要配置。

参数 参数说明 插件规格 根据业务需求，选择插件的规格，包含如下选项： 演示规格（100容器以内）：适用于体验和功能演示环境，该规模下prometheus占用资源较少，但处理能力有限。建议在集群内容器数目不超过100时使用。 小规格（2000容器以内）：建议在集群中的容器数目不超过2000时使用。 中规格（5000容器以内）：建议在集群中的容器数目不超过5000时使用。 大规格（超过5000容器）：建议集群中容器数目超过5000时使用此规格。 实例数 选择上方插件规格后，显示插件中的实例数，此处仅作显示。 容器 选择插件规格后，显示插件容器的CPU和内存配额，此处仅作显示。 数据保留期 自定义监控数据需要保留的天数，默认为15天。 存储 支持云硬盘作为存储，按照界面提示配置如下参数： 可用区：请根据业务需要进行选择。可用区是在同一区域下，电力、网络隔离的物理区域，可用区之间内网互通，不同可用区之间物理隔离。 子类型：支持普通IO、高IO和超高IO三种类型。 容量：请根据业务需要输入存储容量，默认10G。 说明 若命名空间monitoring下已存在pvc，将使用此存储作为存储源。

本章节主要介绍翼MapReduce的分配机架操作。 操作场景 大型集群的所有主机通常分布在多个机架上，不同机架间的主机通过交换机进行数据通信，且同一机架上的不同机器间的网络带宽要远大于不同机架机器间的网络带宽。在这种情况下网络拓扑规划应满足以下要求： 为了提高通信速率，希望不同主机之间的通信能够尽量发生在同一个机架之内，而不是跨机架。 为了提高容错能力，分布式服务的进程或数据需要尽可能存在多个机架的不同主机上。 Hadoop使用一种类似于文件目录结构的方式来表示主机。两层网络的集群如下图所示，Node1的Rack建议设置为 /Switch1/Rack1 ，Node4的Rack建议设置为 /Switch1/Rack2 。 两层网络结构 由于HDFS不能自动判断集群中各个DataNode的网络拓扑情况，管理员需设置机架名称来确定主机所处的机架，NameNode才能绘出DataNode的网络拓扑图，并尽可能将DataNode的数据备份在不同机架中。同理，YARN需要获取机架信息，在可允许的范围内将任务分配给不同的NodeManager执行。 当集群网络拓扑发生变化时，需要使用FusionInsight Manager为主机重新分配机架，相关服务才会自动调整。 对系统的影响 修改主机机架名称，将影响HDFS的副本存放策略、Yarn的任务分配及Kafka的Partition存储位置。修改后需重启HDFS、Yarn和Kafka，使配置信息生效。 不合理的机架配置会导致集群的节点之间的负载（包括CPU、内存、磁盘、网络）不平衡，降低集群的可靠性，影响集群的稳定运行。所以在分配机架之前，需要进行全局的统筹，合理地设置机架。

操作步骤 1. 登录管理控制台。 2. 单击管理控制台右上角的，选择区域。 3. 单击页面左上方的，选择“安全 > Web应用防火墙（独享版）”。 4. 在左侧导航树中，选择“防护策略”，进入“防护策略”页面。 5. 单击目标策略名称，进入目标策略的防护配置页面。 6. 在“网站反爬虫”配置框中，用户可根据自己的需要更改网站反爬虫的“状态”，单击“BOT设置”，进入网站反爬虫规则配置页面。 7. 选择“特征反爬虫”页签，根据您的业务场景，开启合适的防护功能。 特征反爬虫规则提供了两种防护动作： 拦截:发现攻击行为后立即阻断并记录。 注意 开启拦截后，可能会有以下影响： 拦截搜索引擎请求，可能影响网站的搜索引擎优化。 拦截脚本工具，可能会影响部分APP访问（部分APP的UserAgent未做修改，会匹配脚本工具类爬虫规则）。 仅记录：默认防护动作，发现攻击行为后只记录不阻断攻击。 默认开启“扫描器”防护检测，用户可根据业务需要，配置防护动作并开启其他需要防护的检测类型。 特征反爬虫检测项说明： 检测项 说明 功能说明 搜索引擎 搜索引擎执行页面内容爬取任务，如Googlebot、Baiduspider。 开启后，WAF将检测并阻断搜索引擎爬虫。 说明 如果不开启“搜索引擎”，WAF针对谷歌和百度爬虫不会拦截。 扫描器 执行漏洞扫描、病毒扫描等Web扫描任务，如OpenVAS、Nmap。 开启后，WAF将检测并阻断扫描器爬虫。 脚本工具 用于执行自动化任务、程序脚本等，如httpclient、okhttp、python程序等。 开启后，WAF将检测并阻断执行自动化任务、程序脚本等。 说明 如果您的应用程序中使用了httpclient、okhttp、python程序等脚本工具，建议您关闭“脚本工具”，否则，WAF会将使用了httpclient、okhttp、python程序等脚本工具当成恶意爬虫，拦截该应用程序。 其他爬虫 各类用途的爬虫程序，如站点监控、访问代理、网页分析等。 说明 “访问代理”是指当网站接入WAF后，为避免爬虫被WAF拦截，爬虫者使用大量IP代理实现爬虫的一种技术手段。 开启后，WAF将检测并阻断各类用途的爬虫程序。 8. 选择“JS脚本反爬虫”页签，用户可根据业务需求更改JS脚本反爬虫的“状态”。 默认关闭JS脚本反爬虫，单击，在弹出的“警告”提示框中，单击“确定”，开启JS脚本反爬虫。 说明 JS脚本反爬虫依赖浏览器的Cookie机制、JavaScript解析能力，如果客户端浏览器不支持Cookie，此功能无法使用。 如果您的业务接入了CDN服务，请谨慎使用JS脚本反爬虫。由于CDN缓存机制的影响，JS脚本反爬虫特性将无法达到预期效果，并且有可能造成页面访问异常。 9. 根据业务配置JS脚本反爬虫规则。 JS脚本反爬虫规则提供了“防护所有请求”和“防护指定请求”两种防护动作。 除了指定路径以外，防护其他所有路径：“防护模式”选择“防护所有请求”，单击“添加排除请求规则”，配置防护路径后，单击“确认”。 只防护指定路径时：“防护模式”选择“防护指定请求”，单击“添加请求规则”，配置防护路径后，单击“确认”。 JS脚本反爬虫防护规则参数说明： 参数 参数说明 示例 规则名称 自定义规则名称。 wafjs 路径 设置JS脚本反爬虫的URL链接中的路径（不包含域名）。 URL用来定义网页的地址。基本的URL格式如下： 协议名://域名或IP地址[:端口号]/[路径名/…/文件名]。 例如，URL为“ 说明 该路径不支持正则。 路径里不能含有连续的多条斜线的配置，如“///admin”，WAF引擎会将“///”转为“/”。 /admin 逻辑 在“逻辑”下拉列表中选择需要的逻辑关系。 包含 规则描述 规则备注信息。

此小节介绍如何卸载Agent。 指导您在console对目标服务器卸载Agent，Agent卸载后HSS停止对服务器的检测和防护。 约束限制 未开启防护不支持安装与配置相关操作。 单服务器卸载Agent 1、登录管理控制台。 2、在页面左上角单击选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、在左侧导航树选择“安装与配置 > Agent 管理”，进入Agent管理页面。 5、选择“Agent在线（X）”，查看Agent已安装的服务器列表，详情请参见表。 Agent列表参数说明 参数名称 参数说明 服务器名称/ID 服务器的名称和ID。 IP地址 目标服务器所属的公网IP或私网IP。 操作系统 目标服务器的操作系统。 linux windows Agent状态 目标服务器的Agent状态。 离线 未安装 安装失败 6、单击目标服务器“操作”列的“卸载Agent”，在弹窗中确认卸载信息无误，单击“确认”，完成卸载

本章节主要介绍MRS集群中的用户与权限。 概述 MRS集群用户 Manager中的安全帐号，包含用户名、密码等属性，MRS集群的使用者通过这类用户访问集群中的资源。每个启用Kerberos认证的MRS集群可以有多个用户。 MRS集群角色 用户在实际使用MRS集群时需根据业务场景获取访问资源的权限，访问资源的权限是定义到MRS集群对象上的。集群的角色就是包含一个或者多个权限的集合。例如，HDFS中某个目录的访问权限，需要在指定的目录上配置，并保存在角色中。 Manager支持MRS集群用户权限管理功能，使权限管理与用户管理更加直观、易用。 权限管理：使用RBAC（RoleBased Access Control）方式，即基于角色授予权限，形成权限的集合。用户通过分配一个或多个已授权的角色取得对应的权限。 用户管理：使用Manager统一管理MRS集群用户，并通过Kerberos协议认证用户，LDAP协议存储用户信息。 权限管理 MRS集群提供的权限包括Manager和各组件（例如HDFS、HBase、Hive和Yarn等）的操作维护权限，在实际应用时需根据业务场景为各用户分别配置不同权限。为了提升权限管理的易用性，Manager引入角色的功能，通过选取指定的权限并统一授予角色，以权限集合的形式实现了权限集中查看和管理，提升了权限管理的易用性和用户体验。 角色可以理解为集中一个或多个权限的逻辑体，角色被授予指定的权限，用户通过绑定角色获得对应的权限。 一个角色可以有多个权限，一个用户可以绑定多个角色。 角色1：授予操作权限A和B，用户a和用户b通过绑定角色1取得对应的权限。 角色2：授予操作权限C，用户c和用户d通过绑定角色2取得对应的权限。 角色3：授予操作权限D和F，用户a通过绑定配角色3取得对应的权限。 例如，MRS集群用户绑定了管理员角色，那么这个用户成为MRS集群的管理员用户。 Manager界面显示系统默认创建的角色如下表所示。 Manager默认角色与描述 默认角色 角色描述 default 为租户创建的角色。 Manageradministrator Manager管理员，具有Manager的管理权限。 Managerauditor Manager审计员，具有查看和管理审计信息的权限。 Manageroperator Manager操作员，具有除租户管理、配置管理和集群管理功能以外的权限。 Managerviewer Manager查看员，具有查看系统概览，服务，主机，告警，审计日志等信息的权限。 Systemadministrator 系统管理员，具有Manager的管理权限及所有服务管理员的所有权限。 Managertenant Manager租户管理页面查看角色，具有Manager“租户管理”页面查看权限。 通过Manager创建角色时支持对Manager和组件进行授权管理，如下表所示。 Manager与组件授权管理 授权类型 授权描述 Manager Manager访问与登录权限。 HBase HBase管理员权限设置和表、列族授权。 HDFS HDFS中的目录和文件授权。 Hive Hive Admin Privilege Hive管理员权限。 Hive Read Write Privileges Hive数据表管理权限，可设置与管理已创建的表的数据操作权限。 Hue 存储策略管理员权限。 Yarn Cluster Admin Operations Yarn管理员权限。 Scheduler Queue 队列资源管理。

本小节介绍数据库安全数据库慢SQL检测最佳实践。 操作场景 数据库安全审计默认提供一条“数据库慢SQL检测”的风险操作，用于检测原始审计日志的响应时间大于1秒的SQL语句。 通过数据库慢SQL检测，您可获知执行耗时长、影响行数、执行该SQL语句的数据库信息并根据实际需求对慢SQL进行优化。 数据库安全审计支持以下执行语句类型检测：数据定义（DDL）： CREATE TABLE CREATE TABLESPACE DROP TABLE DROP TABLESPACE 数据操作（DML）： INSERT UPDATE DELETE SELECT SELECT FOR UPDATE 数据控制（DCL）： CREATE USER DROP USER GRANT 查看慢SQL检测结果 数据库慢SQL检测开启后，您可以在“总览 > 语句”中查看执行效率低的语句及语句详细信息。 1. 登录管理控制台。 2. 在页面上方选择“区域”后，单击，选择“安全与合规 > 数据库安全服务”。 3. 在左侧导航树中，选择“总览”，进入“总览”界面。 4. 在“选择实例”下拉列表框中，选择需要查看数据库慢SQL语句信息的实例。 5. 选择“语句”页签。 6. 您可以按照以下方法，查询指定的SQL语句。选择“时间”（“全部”、“近30分钟”、“近1小时”、“近24小时”、“近7天”或“近30天”），或者单击，选择开始时间和结束时间，单击“提交”，列表显示该时间段的SQL语句。选择“风险等级”（“低”，数据库慢SQL规则默认为低），单击“提交”，列表显示该级别的SQL语句。单击“高级选项”后的，输入相关信息，如图所示，单击“搜索”，列表显示该选项的SQL语句。 说明 一次查询最多可查询10,000条记录。 高级选项信息 7. 在需要查看详情的慢SQL语句所在行的“操作”列，单击“详情”，如图所示。 8. 在详情提示框中，查看慢SQL语句的详细信息，如图所示，相关参数说明如表所示。 SQL语句详情参数说明 参数名称 说明 会话ID SQL语句的ID，由系统自动生成。 数据库实例 SQL语句所在的数据库实例。 数据库类型 执行SQL语句所在的数据库的类型。 数据库用户 执行SQL语句的数据库用户。 客户端MAC地址 执行SQL语句所在客户端MAC地址。 数据库MAC地址 执行SQL语句所在数据库MAC地址。 客户端IP 执行SQL语句所在客户端的IP地址。 数据库IP 执行SQL语句所在的数据库的IP地址。 客户端端口 执行SQL语句所在的客户端的端口。 数据库端口 执行SQL语句所在的数据库的端口。 客户端名称 执行SQL语句所在客户端名称。 操作类型 SQL语句的操作类型。 操作对象类型 SQL语句的操作对象的类型。 响应结果 执行SQL语句的响应结果。 影响行数 执行SQL语句的影响行数。 开始时间 SQL语句开始执行的时间。 应结束时间 SQL语句结束的时间。 SQL请求语句 SQL语句的名称。 请求结果 SQL语句请求执行的结果。