本章主要介绍翼MapReduce的管理本地快速恢复任务功能。 操作场景 使用DistCp备份数据时，本集群HDFS中将保存备份数据的快照信息。FusionInsight Manager支持使用本地的快照快速恢复数据，减少从备集群恢复数据使用的时间。 管理员可以通过FusionInsight Manager与本集群HDFS保存的快照信息，创建本地快速恢复任务并执行恢复任务。 操作步骤 1.登录FusionInsight Manager，选择“运维 > 备份恢复 > 备份管理”。 2.在备份任务列表已创建任务的“操作”列，单击“恢复”。 3.确认界面是否提示“没有可快速恢复的数据，请在恢复管理界面创建恢复任务进行恢复。”。 是，备份任务未在主集群产生备份数据快照，任务结束。 否，可以创建本地快速恢复任务，执行4。 说明 元数据不支持快速恢复。 4.在“任务名称”填写本地快速恢复任务的名称。 5.在“备份配置”选择数据源。 6.在“可恢复点列表”选择一个包含目标备份数据的恢复点。 7.在“队列名称”填写任务执行时使用的Yarn队列的名称。需和集群中已存在且状态正常的队列名称相同。 8.在“数据配置”选择需要恢复的对象。 9.单击“校验”，界面显示“校验恢复任务配置成功”。 10.单击“确定”。 11.在恢复任务列表已创建任务的“操作”列，单击“执行”，开始执行恢复任务。 任务执行完成后，“任务状态”显示为“成功”。

本章主要介绍翼MapReduce的更换CA证书功能。 操作场景 MRS CA证书用于组件客户端与服务端在通信过程中加密数据，实现安全通信。该任务指导系统管理员通过FusionInsight Manager完成CA证书替换工作，以确保产品安全使用。适用于以下场景： 首次安装好集群以后，需要更换企业证书。 企业证书有效时间已过期或安全性加强，需要更换为新的证书。 更换CA证书以后，MRS中HDFS、Yarn、MapReduce、HBase、Loader、Hue、FTPServer、Oozie、Hive、Tomcat、CAS、httpd和LDAP使用的证书将自动更新。 证书文件和密钥文件可向企业证书管理员申请或由系统管理员生成。 说明 当前FusionInsight仅支持x.509格式证书导入，且必须是具有签发能力的CA证书。 当前FusionInsight要求OS的编码格式必须为“enUS.UTF8”或“POSIX”，否则会造成证书功能异常。 对系统的影响 更换过程中MRS系统需要重启，此时系统无法访问且无法提供服务。 前提条件 获取需要导入到MRS集群的CA证书文件（ .crt）、密钥文件（ .key）以及保存访问密钥文件密码的文件（password.property）。证书名称和密钥名称支持大小写字母和数字。 准备一个访问密钥文件的密码例如“Userpwd@123”用于访问密钥文件。 密码复杂度要求如下，如果密码复杂度不满足如下要求，可能存在安全风险： − 密码字符长度最小为8位。 − 至少需要包含大写字母、小写字母、数字、特殊字符~!?,.;'(){}[]/<>@

本章节主要介绍翼MapReduce服务ZooKeeper健康检查指标项说明。 ZooKeeper服务处理请求平均延时 指标项名称 ：ZooKeeper服务处理请求平均延时 指标项含义 ：检查ZooKeeper服务处理请求的平均延时，如果大于300毫秒，则认为不健康。 恢复指导： 如果该指标项异常，则需要检查集群的网络速度是否正常、内存或CPU使用率是否过高。 ZooKeeper连接数使用率 指标项名称 ：ZooKeeper连接数使用率 指标项含义 ：检查ZooKeeper内存使用率是否超过80%。如果超过阈值，则认为不健康。 恢复指导 ：如果该指标项异常，建议增加ZooKeeper服务可以使用的内存。可以通过ZooKeeper服务配置中的“GCOPTS”配置项参数Xmx来修改，修改完成需重启ZooKeeper服务。 服务健康状态 指标项名称： 服务状态 指标项含义 ：检查ZooKeeper服务状态是否正常。如果状态不正常，则认为不健康。 恢复指导： 如果该指标项异常，建议检查KrbServer、LdapServer两个服务的健康状态是否为故障并进行处理。然后登录ZooKeeper客户端，确认ZooKeeper是否无法写入数据，根据错误提示排查ZooKeeper写数据失败的原因。最后参考告警ALM13000进行处理。 检查告警 指标项名称： 告警信息 指标项含义 ：检查服务是否存在未清除的告警。如果存在，则认为不健康。 恢复指导： 如果该指标项异常，建议参见告警进行处理。

本章节主要介绍翼MapReduce服务Loader健康检查指标项说明。 ZooKeeper健康状态 指标项名称 ：ZooKeeper健康状态 指标项含义 ：检查ZooKeeper健康状态是否正常。如果ZooKeeper服务状态不正常，则认为不健康。 恢复指导 ：如果该指标项异常，建议参见告警进行处理。 HDFS健康状态 指标项名称 ：HDFS健康状态 指标项含义 ：检查HDFS健康状态是否正常。如果HDFS服务状态不正常，则认为不健康。 恢复指导 ：如果该指标项异常，建议参见告警进行处理。 DBService健康状态 指标项名称 ：DBService健康状态 指标项含义 ：检查DBService健康状态是否正常。如果DBService服务状态不正常，则认为不健康。 恢复指导 ：如果该指标项异常，建议参见告警进行处理。 Yarn健康状态 指标项名称 ：Yarn健康状态 指标项含义 ：检查Yarn健康状态是否正常。如果Yarn服务状态不正常，则认为不健康。 恢复指导 ：如果该指标项异常，建议参见告警进行处理。 MapReduce健康状态 指标项名称 ：MapReduce健康状态 指标项含义 ：检查MapReduce健康状态是否正常。如果MapReduce服务状态不正常，则认为不健康。 恢复指导 ：如果该指标项异常，建议参见告警进行处理。 Loader进程状态 指标项名称 ：Loader进程状态 指标项含义 ：检查Loader进程状态是否正常。如果状态不正常，则认为不健康。 恢复指导 ：如果该指标项异常，建议参见告警进行处理。

本章主要介绍翼MapReduce的配置Controller与Agent间通信加密功能。 操作场景 安装集群后Controller和Agent之间需要进行数据通信，在通信的过程中采用了Kerberos认证，出于对集群性能的考虑，通信过程默认不加密，对于一些安全要求较高用户可以采用以下方式进行加密。 对系统的影响 执行加密操作时，会自动重启Controller和所有Agent，重启期间会造成FusionInsight Manager暂时中断。 大集群下会导致管理节点性能有所下降，建议集群不超过200节点时开启该功能。 前提条件 已确认主备管理节点IP。 操作步骤 1.以omm用户登录到主管理节点。 2.执行以下命令，防止超时退出。 TMOUT0 说明 执行完本章节操作后，请及时恢复超时退出时间，执行命令 TMOUT 超时退出时间 。例如： TMOUT600 ，表示用户无操作600秒后超时退出。 3.执行以下命令，切换目录。 cd ${CONTROLLERHOME}/sbin 4.执行以下命令启用通信加密： ./enableRPCEncrypt.sh t 执行 sh ${BIGDATAHOME}/omserver/om/sbin/statusoms.sh 查看主管理节点Controller的“ResHAStatus”是否为“Normal”，并可以重新登录FusionInsight Manager表示更改成功。 5.如果需要关闭加密模式，执行以下命令： ./enableRPCEncrypt.sh f 执行 sh ${BIGDATAHOME}/omserver/om/sbin/statusoms.sh ，查看主管理节点Controller的“ResHAStatus”是否为“Normal”，并可以重新登录FusionInsight Manager表示更改成功。

本章节主要介绍翼MapReduce的管理全局用户策略操作。 操作场景 如果租户配置使用Superior调度器，那么系统可以控制具体用户使用资源调度器的行为，包含： 最大运行任务数 最大挂起任务数 默认队列 操作步骤 添加策略 1. 在FusionInsight Manager，单击“租户资源”。 2. 单击“动态资源计划”页签。 3. 单击“全局用户策略”页签。 说明 defaults(default setting)表示如果一个用户未配置全局用户策略，则默认使用defaults所指定的策略。该策略不可删除。 4. 单击“添加全局用户策略”，在弹出窗口中填写以下参数。 集群：选择需要操作的集群。 用户名：表示需要控制资源调度的用户，请输入当前集群中已存在用户的名称。 最大运行任务数：表示该用户在当前集群中能运行的最大任务数量。 最大挂起任务数：表示该用户在当前集群中能挂起的最大任务数量。 默认队列：表示用户的队列，请输入当前集群中已存在队列的名称。 修改策略 1. 在FusionInsight Manager，单击“租户资源”。 2. 单击“动态资源计划”页签。 3. 单击“全局用户策略”页签。 4. 在指定用户策略所在行，单击“操作”列中的“修改”。 5. 调整相关参数后，单击“确定”。 删除策略 1. 在FusionInsight Manager，单击“租户资源”。 2. 单击“动态资源计划”页签。 3. 单击“全局用户策略”页签。 4. 在指定用户策略所在行，单击“操作”列中的“删除”。 在弹出窗口单击“确定”。

项 目 约束和限制 迁移源和迁移任务数量限制 每位用户可激活的迁移源数量上限为1000台；每位用户可创建迁移任务数量为1000个；每位用户可并发执行的迁移任务数量为50台。 迁移源绑定限制 每个迁移源同一时刻仅能绑定一个目标端，对应生成唯一一个"未完成"状态的迁移任务；已完成或异常的迁移任务不能作为迁移源绑定目标端。 迁移源软硬件、授权限制 未授权的应用软件、盗版软件、集群数据库、UKey等可能影响产品的使用，应避免使用。 迁移源目标端配置限制 目标机内存必须大于4GB；目标机配置建议与迁移源相同，如果迁移源内存小于4GB，迁移完成后可以根据需求进行缩扩容等修改。 迁移源目标端限制 目标端机器必须是天翼云平台上使用云迁移专用PE镜像创建的虚拟机。 迁移源网络限制 源机可以使用独享IP，也可以使用NAT网络或者代理，需要能访问到 迁移盘符限制 引导位置必须在第一个盘的第一个分区。 迁移源存储服务限制 不支持客户端共享存储，共享存储中的数据可以在迁移完成后使用rsync命令进行迁移，操作方式参见 迁移源磁盘数、容量限制 单盘容量无限制，但磁盘个数应确定在24个以下。如果超过该限制，需要对源机磁盘进行减少或通过工单进行技术咨询。 数据库与集群服务限制 Oracle RAC需要使用共享存储、部分使用ASM磁盘，CMS无法提供ASM磁盘、Oracle RAC迁移。大型库不建议使用CMS进行迁移，建议使用数据库专业迁移工具进行迁移。如果使用CMS进行迁移，在使用过程中应当在“停止增量”步骤前停止相关应用进程。 网络环境因素限制 网络环境问题可能影响迁移速率，应先测试迁移源出口带宽、目标端入流量带宽以及CMS控制台带宽限制配置；注意是否存在特殊的网络、专线以及是否具备公网环境。 复杂业务拉起、支撑限制 迁移复杂业务时，需要记录业务关联信息，并根据需求按业务系统进行迁移、切换、测试；增量迁移时，需要停止相关业务进程，以保持一致性。业务上云后，也需相关熟悉业务人员进行测试验证，以此减少业务停机时间。 特定需求限制 如果存在涉密文件、需要保持IP不变等特定需求，需要通过工单进行技术咨询，以满足相应需求。 迁移源资源与性能限制 CMS代理端部署于源机，需占用源机的CPU与内存，当源机CPU使用率或内存使用率过高时，CMS代理端会影响业务，甚至导致迁移源宕机。正常4C4G的机器能正常满足迁移所需资源。CMS需在源机agent启动后，持续对源机进行监控，并给出一定周期内CPU、内存使用情况、硬盘数据增长量等数据。用户根据给出数据对系统进行评估。若无法准确评估需找相关专业人员确认。 目标端设备规格的规格限制 目标机规格支持GPU类相关规格，A10/V100s GPU主机、T4/V100GPU主机。 操作系统 支持迁移的Windows操作系统参见

本节为您介绍服务器迁移服务的使用限制。 项目 约束和限制 迁移源和迁移任务数量限制 每位用户可激活的迁移源数量上限为1000台；每位用户可创建迁移任务数量为1000个；每位用户可并发执行的迁移任务数量为50台。 迁移源绑定限制 每个迁移源同一时刻仅能绑定一个目标端，对应生成唯一一个"未完成"状态的迁移任务；已完成或异常的迁移任务不能作为迁移源绑定目标端。 迁移源软硬件、授权限制 未授权的应用软件、盗版软件、集群数据库、UKey等可能影响产品的使用，应避免使用。 迁移源目标端配置限制 目标机内存必须大于4GB；目标机配置建议与迁移源相同，如果迁移源内存小于4GB，迁移完成后可以根据需求进行缩扩容等修改。 迁移源目标端限制 目标端机器必须是天翼云平台上使用云迁移专用PE镜像创建的虚拟机。 迁移源网络限制 源机可以使用独享IP，也可以使用NAT网络或者代理，需要能访问到 迁移盘符限制 引导位置必须在第一个盘的第一个分区。 迁移源存储服务限制 不支持客户端共享存储，共享存储中的数据可以在迁移完成后使用rsync命令进行迁移，操作方式参见使用rsync工具迁移NFS文件系统。 迁移源磁盘数、容量限制 单盘容量无限制，但磁盘个数应确定在24个以下。如果超过该限制，需要对源机磁盘进行减少或通过工单进行技术咨询。 数据库与集群服务限制 Oracle RAC需要使用共享存储、部分使用ASM磁盘，CMS无法提供ASM磁盘、Oracle RAC迁移。大型库不建议使用CMS进行迁移，建议使用数据库专业迁移工具进行迁移。如果使用CMS进行迁移，在使用过程中应当在“停止增量”步骤前停止相关应用进程。 网络环境因素限制 网络环境问题可能影响迁移速率，应先测试迁移源出口带宽、目标端入流量带宽以及CMS控制台带宽限制配置；注意是否存在特殊的网络、专线以及是否具备公网环境。 复杂业务拉起、支撑限制 迁移复杂业务时，需要记录业务关联信息，并根据需求按业务系统进行迁移、切换、测试；增量迁移时，需要停止相关业务进程，以保持一致性。业务上云后，也需相关熟悉业务人员进行测试验证，以此减少业务停机时间。 特定需求限制 如果存在涉密文件、需要保持IP不变等特定需求，需要通过工单进行技术咨询，以满足相应需求。 迁移源资源与性能限制 CMS代理端部署于源机，需占用源机的CPU与内存，当源机CPU使用率或内存使用率过高时，CMS代理端会影响业务，甚至导致迁移源宕机。正常4C4G的机器能正常满足迁移所需资源。CMS需在源机agent启动后，持续对源机进行监控，并给出一定周期内CPU、内存使用情况、硬盘数据增长量等数据。用户根据给出数据对系统进行评估。若无法准确评估需找相关专业人员确认。 目标端设备规格的规格限制 目标机规格支持GPU类相关规格，A10/V100s GPU主机、T4/V100GPU主机。 操作系统 支持迁移的Windows操作系统参见Windows兼容性列表。支持迁移的Linux操作系统参见Linux兼容性列表。不支持迁移多操作系统。

本文将介绍如何使用边缘安全加速平台安全与加速服务的漏洞扫描功能。 功能介绍 通过天翼云监测系统平台，在无需用户采购任何Web应用扫描产品前提下，即可获得网站的漏洞态势，以及每个漏洞的详情介绍和修补建议，方便及时作出处置。 支持远程扫描Web漏洞和按照国际权威安全机构WASC分类的25种Web应用漏洞，全面覆盖OWASP Top 10 Web应用风险。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 开通套餐为免费版及以上版本。 说明 默认脱敏显示您的联系方式等敏感信息，点击明文显示时，请您注意保护数据安全！ 新增漏洞扫描任务 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【网站风险监测】菜单，并在左侧域名列表选择您要扫描的域名。 3. 支持两种配置扫描任务方式。 4. 如果您需要快速复制其他域名的扫描任务，可单击【域名资产概况】中的【快速配置监测任务】。 5. 如果您需要新增扫描任务，单击【新增】按钮。 配置项说明： 配置项 说明 任务名称 用户可自定义任务名称，支持中文、英文、数字、下划线，最长30个字符。 任务开关 用户开启或者关闭任务。 监测任务等级 扫描漏洞范围： 高危:监测站点是否有命令执行，SQL注入，XML注入，目录遍历与目录穿越，跨站脚本漏洞，反序列化漏洞等。 中危：监测站点是否有敏感数据泄漏，用户凭证明文传输，错误的安全配置等。 低危：监测站点有无TLS传输防护，cookie未受httponly保护等。 监测URL 扫描任务开始扫描的url，从该url开始访问，逐层扫描。 比如：起始url： 则: 一级链接表示： 等； 二级链接表示： 等； 三级链接表示： 等。 监测排除URL 设置不需要扫描的URL，如 http(s)://www.ctyun.cn/xxx 不进行漏洞检测。 定义HTTP头部 如果扫描域名需要登录，需要设置可获取登录凭证Header以自定义设置登录凭据。 接口扫描 如果包含API接口需要上传扫描对应的api接口文件。 监测计划 立即检测：任务创建完立即进行漏洞检测，不再重复执行检测 ； 单次：任务创建完在指定时间进行漏洞检测，检测完成即任务结束，不再重复执行检测 每天：任务创建完任务在每天指定时间进行检测 每周：任务创建完任务在指定周几的指定时间进行检测 每月：任务创建完任务在指定日期的指定时间进行检测 通知方式 支持邮件和短信通知。

本节介绍翼甲控制台的设置功能。 告警配置 用户可在该界面根据业务需要添加告警规则。 （1）开通短信告警：点击“去开通”，可前往开通短信告警功能； （2）添加规则：点击“添加规则”，可添加新的告警规则，可根据具体业务需求对告警规则进行配置。 （3）删除：在列表首列点选告警规则，点击“批量删除”，可完成对规则的批量删除；在单条规则的最右侧操作列，点击“删除”，可完成对单条规则的删除。 （4）编辑：在已创建告警规则的最右侧操作列，点击“编辑”，可对单条规则的内容配置及启用状态进行编辑。 （5）复制：在已创建规则的最右侧操作列，点击“复制”，将会弹出“复制规则”确认框，用户可基于当前告警规则的字段进行二次编辑，点击确认后可创建规则。 （6）导出：点击“导出”，可导出告警规则信息的JSON文件。 （7）导入：将告警规则以JSON文件的格式编辑好后（可参照导出文件的模板），点击“导入”即可完成规则批量导入。 版本升级 在版本升级界面，用户可根据业务需求对防火墙、入侵防御特征库、病毒防护特征库、URL分类库等4个领域的内容，自定义配置自动升级规则及升级时间。

本章节主要介绍 翼MapReduce的管理资源分布功能。 用户需要了解服务和主机关键监控指标中最高、最低或平均监控数据形成的曲线，即资源分布情况时，可以在MRS Manager上查看，支持查询1小时以内的监控数据。 用户也可以在MRS Manager上修改资源分布，使服务和主机的资源分布图表中，可以按自定义的数值显示一条或多条最高、最低监控数据形成的曲线。 部分监控指标的资源分布不记录。 操作步骤 查看服务监控指标的资源分布 1. 在MRS Manager，单击“服务管理”。 2. 单击服务列表中指定的服务名称。 3. 单击“资源贡献排名”。 “指标”中选择服务的关键指标，MRS Manager将显示过去1小时内指标的资源分布情况。 查看主机监控指标的资源分布 1. 单击“主机管理”。 2. 单击主机列表中指定的主机名称。 3. 单击“资源贡献排名”。 “指标”中选择主机的关键指标，MRS Manager将显示过去1小时内指标的资源分布情况。 配置资源分布 1. 在MRS Manager，单击“系统设置”。 2. 在“配置”区域“监控和告警配置”下，单击“资源贡献排名配置”。 3. 修改资源分布的显示数量。 “TOP数量”填写最大值的显示数量。 “BOTTOM数量”填写最小值的显示数量。 说明 最大值与最小值的资源分布显示数量总和不能大于5。 4. 单击“确定”保存设置。 界面右上角提示“保存TOP数量和BOTTOM数量成功。”。

本章节主要介绍翼MapReduce的审计管理页面操作。 操作场景 “审计”页面记录用户对集群Manager页面操作信息。管理员可通过该页面查看用户在Manager上的历史操作记录。审计管理包含的审计内容信息，请参考关于日志章节中的“审计日志”。 概述 登录FusionInsight Manager，单击“审计”，界面展示如下图所示FusionInsight Manager审计信息，包括操作类型、安全级别、开始时间、结束时间、用户、来源名称、主机、服务、实例、操作结果等。 审计信息列表 用户可以在“所有安全级别”中选择“高危”、“危险”、“一般”和“提示”级别的审计日志。 在高级搜索中，用户可设置过滤条件来查询审计日志。 a. 在“操作类型”中，用户可根据用户管理、集群、服务、健康检查等来指定操作类型查询对应的审计日志。 b. 在“服务”中，用户可选择相应的服务来查询审计日志。 说明 在服务中选择“”，表示除服务以外其他类型的审计日志。 c. 在“操作结果”中，用户可选择所有、成功、失败和未知来查询审计日志。 单击手动刷新当前页面，也可在修改审计表格显示的列。 单击“导出全部”，可一次性导出所有审计信息，可导出“TXT”或者“CSV”格式。

本章节主要介绍翼MapReduce的约束与限制。 使用MRS前，您需要认真阅读并了解以下使用限制。 MRS集群必须创建在VPC子网内。 建议使用支持的浏览器登录MRS。 Google Chrome：36.0及更高版本。 Internet Explorer：9.0及更高版本。 当使用Internet Explorer 9.0时可能无法登录MRS管理控制台，原因是某些Windows系统例如Win7旗舰版，默认禁止Administrator用户，Internet Explorer在安装时自动选择其他用户如System用户安装，从而导致Internet Explorer无法打开登录页面。请使用管理员身份重新安装Internet Explorer 9.0或更高版本（建议），或尝试使用管理员身份运行Internet Explorer 9.0。 创建MRS集群时，支持自动创建安全组，也可从下拉框中选择已有的安全组。集群创建完成后，请勿随意删除或更改已使用的安全组。否则可以能导致集群异常，影响MRS集群的使用。 MRS集群使用的安全组请勿随意放开权限，避免被恶意访问。 请勿随意执行如下操作，避免集群进入异常状态，影响MRS集群的使用。 −在ECS中对MRS集群的节点进行关机、重启、删除、变更OS、重装OS和修改规格等操作。 −删除集群节点上已有的进程、安装的应用程序和文件。 集群处于非人为异常状态时，可以联系技术支持人员，技术支持人员征得您同意后会请您提供相关信息，登录MRS集群进行问题排查。 请根据业务需要规划集群节点的磁盘，如果需要存储大量业务数据，请增加云硬盘数量或存储空间。以防止存储空间不足影响节点正常运行。 集群节点仅用于存储用户业务数据，非业务数据建议保存在对象存储服务或其他弹性云服务器中。 集群节点仅用于运行MRS集群，其他客户端应用程序、用户业务程序建议申请独立弹性云服务器部署。 MRS集群的节点（包含Master，Core和Task节点）扩充存储容量时，不建议通过扩容原有磁盘的方式实现。建议通过创建磁盘再挂载的方式实现。 MRS集群扩容（包含存储能力和计算能力）时，可以通过增加Core节点或者Task节点的方式实现。 当关闭集群中的某一个Master节点后仍然使用集群执行任务或修改配置，且任务执行或配置修改后未启动被关闭的Master节点就关闭集群中其他Master节点时，存在由于主备倒换导致的数据丢失风险。在该场景下，请在任务执行或配置修改后先启动被关闭的Master节点，再关闭全部节点。若集群中节点已经被全部关闭，请按照节点关机顺序的倒序启动集群节点。 当使用MRS集群过程中进行Capacity和Superior调度器切换时只完成调度器的切换，不保证配置同步。如果您需要配置同步，请基于新的调度器重新配置。

注意 本清单适用于天翼云AOne APP（Android 及 iOS版本）等全部终端客户端（以下单称或统称“平台”）向您提供的各项产品和服务。若某个产品与/或服务设置了单独清单，则该单独清单优先适用。 业务场景 收集目的 处理方式 信息类型 账号注册 登录认证、双因子认证、重置密码、验证码校验、应用访问权限申请和审批、员工账号管理 用户输入 手机号、电子邮箱、用户名 账号登录 登录认证 用户输入 注册用户登录账号、注册用户登录密码、验证码 设备管理 进行移动设备管理 APP收集 账号、设备ID、设备名称、设备系统 信息统计故障诊断 使用故障诊断、信息统计、服务稳定性改进、响应使用异常帮助请求 APP收集 设备名称、品牌、型号、操作系统、设备设置、IDFV（仅iOS）、IP地址、个人信息（头像） 企业/组织控制台数据配置 企业组织管理、应用范围管理、日常办公安全管理 企业管理员配置 隶属部门、办公邮箱账号、办公电话、企业账号信息、访问企业应用/资产名称、访问企业应用/资产的时长、访问过程中流量的大小 VPN服务 访问企业内部应用、产品功能正常运行 APP收集 设备名称、设备版本、软件版本号、虚拟网卡IP地址 应用资源访问 网络日志保存、安全审计 APP收集 访问的应用名、访问的目的地址、目的端口、设备网络类型、客户端IP地址、客户端端口、访问日期和时间 AI应用中心智能对话 意图识别、关键词拆分、信息检索、提供精准搜索结果和总结性回答 用户输入 与AI应用中心交互过程中输入的内容（语音、文本、图片、文件）、对话记录（输入信息、App生成内容、对话主题） AI应用中心文件上传 智能搜索、交互服务、精准理解用户需求、提供准确搜索结果和智能推荐 用户上传 用户上传的文件内容 日程服务 日程提醒、日程安排管理 用户输入 日程安排、事件通知 消息服务 信息传输与交互、设备同步 用户输入 聊天信息（文本消息、图片消息、文件、通信录信息） 空间服务在线文档 文档管理、协作记录 用户输入 文档及文档信息（文档类型、大小、文档权限、存放位置）、参与编辑的记录、分享/创建副本/下载/浏览/变更权限设置的操作记录 空间服务搜索 搜索结果展示 用户输入 搜索关键字信息 企业微信账户授权登录 关联账号登录 APP收集 个人账号信息、联系方式、组织架构 飞书账户授权登录 关联账号登录 APP收集 个人账号信息、联系方式、组织架构、设备信息与日志信息（操作系统版本号、服务日志）、个人常用设备信息 钉钉账户授权登录 关联账号登录 APP收集 个人账号信息、联系方式、组织架构 音视频会议发言 音视频流传输 APP收集 音频信息、视频信息 音视频会议粘贴会议号 会议号鉴别、提升入会效率 APP收集 剪贴板中的会议号 音视频会议蓝牙连接 蓝牙设备会议交流 APP收集 蓝牙设备信息 共享屏幕 在其他应用上层显示 APP收集 悬浮窗权限、共享屏幕信息 会议记录 会议信息管理、后期查看 APP收集 会议主题、会议号、会议密码、会议创建人、参会人、会议开始和结束时间、最近入会时间及参会时长 云录制 会议内容保存、回放观看 APP收集 音频信息、视频信息、会议纪要文本数据 会议纪要生成 生成会议纪要（按主题、按章节、按发言人总结） APP收集 会议音频信息、会议主题、参会人昵称信息 全球加速 加速访问公网应用 APP收集 设备名称、设备版本、软件版本号、虚拟网卡IP地址 生物识别登录 账号登录验证 本地验证 指纹信息/人脸信息（不采集原始图像，仅保存在用户设备上） 待办工单 工单管理 用户输入 待办工单信息 邮件服务 邮件收发 用户输入 电子邮箱地址、图片、文字、文件

本章节主要介绍翼MapReduce的分布操作。 登录到FusionInsight Manager页面，选择“主机 > 资源概况 > 分布”，可查看各集群的资源分布监控，如下图所示，默认显示1小时的监控数据。用户可单击自定义时间区间，缺省时间区间包括：1小时、2小时、6小时、12小时、1天、1周、1月。 详见下图：资源分布概况 单击“选择指标”可以自定义所需查看的指标项，详细指标项如下表所示。选择指标后，页面会显示在各个区间的主机分布图。 鼠标停留在某个色块时，会显示处于当前区间的主机数量，如上图所示。单击色块，页面会显示处于当前区间的主机列表。 − 单击列表中某主机“主机名称”，会跳转至该主机的详细信息页面； − 单击列表中某主机“查看趋势”，会显示当前指标项整个集群的最大值、平均值、最小值、当前主机值。当前集群中，当指标为“主机CPU内存磁盘使用率”时，不能进行“查看趋势”操作。 单击“导出数据”，可以导出当前指标项集群中所有节点在选中的时间区域内的最大值、最小值、平均值。 指标项 指标分类 指标项 进程 运行的进程总数 进程总数 omm进程总数 D状态进程总数 网络状态 主机网络数据包冲突数 LASTACK状态数量 CLOSING状态数量 LISTENING状态数量 CLOSED状态数量 ESTABLISHED状态数量 SYNRECV状态数量 TIMEWAITING状态数量 FINWAIT2状态数量 FINWAIT1状态数量 CLOSEWAIT状态数量 DNS解析时长 TCP临时端口使用率 主机网络数据包帧错误数 网络读信息 主机网络读包数 主机网络读包丢包数 主机网络读包错误数 主机网络接收速率 磁盘 主机磁盘写速率 主机磁盘已使用大小 主机磁盘未使用大小 主机磁盘读速率 主机磁盘使用率 内存 未使用内存 缓存内存大小 内核缓存的内存总量 共享内存大小 主机内存使用率 已使用内存 网络写信息 主机网络写包数 主机网络写包错误数 主机网络发送速率 主机网络写包丢包数 CPU 改变过优先级的进程占CPU的百分比 用户空间占用CPU百分比 内核空间占用CPU百分比 主机CPU使用率 CPU总时间 CPU闲置时间 主机状态 主机文件句柄使用率 每1分钟系统平均负载 每5分钟系统平均负载 每15分钟系统平均负载 主机PID使用率

本节主要介绍PUT Bucket Website。 此操作用来配置网站托管属性。如果Bucket已经存在了website，此操作会替换原有website。只有根用户和拥有PUT Bucket Website权限的子用户才能执行此操作。 注意 如果配置静态网站托管后，当匿名用户直接访问Bucket的域名，会将静态网站文件下载到本地。如果要实现访问静态网站时是预览网站内容，而非下载静态网站文件，静态网站域名须是Bucket绑定的已备案自定义域名，为Bucket绑定自定义域名请联系天翼云客服申请。 OOS自有网站托管域名不支持HTTPS访问，用户自定义域名支持HTTPS访问。如果需要支持通过HTTPS访问，请联系天翼云客服，提供域名证书，证书支持格式：crt+key或者PEM，请确保提供的证书在有效期内，建议证书有效期至少1年及以上，避免使用免费证书。 设置Bucket的网络配置请求消息体的上限是10KiB。 尽量避免目标Bucket名中带有“.”，否则通过HTTPS访问时可能出现客户端校验证书出错。 网站托管配置步骤如下： 1. 创建一个公共读属性的存储桶（Bucket）。 2. 向天翼云客服提交工单，申请客户自定义域名添加白名单。 3. 在域名管理中添加别名。 如果不使用CDN加速，将Bucket的CNAME Record Value（BuckeNname.ooswebsitecn.oosxx.ctyunapi.cn）作为别名添加到域名管理系统中。 如果使用CDN加速，将CDN厂商提供的别名添加到域名管理系统中，然后在CDN回源地址中配置OOS侧的CNAME Record Value，并将回源host配置为您的自定义域名（如yourdomain.com）。 说明 创建Bucket时显示的Endpoint为ooscn.ctyunapi.cn，该Endpoint是针对整个对象存储网络的域名，该域名在解析时，会根据用户地理位置的不同解析到不同的资源池地址。如果创建Bucket时有多个数据位置，系统默认选取创建时第一个有效数据位置作为CNAME Record Value（BucketName.ooswebsitecn.oosxx.ctyunapi.cn）。CNAME Record Value可以通过控制台Bucket属性中的网站查看。如果创建Bucket时，只有一个数据位置可用，则在Bucket区域中展示的CNAME Record Value为BucketName.ooswebsitecn.ooscn.ctyunapi.cn。所以如果使用静态网站托管，建议您根据Bucket区域属性中的数据位置，选择您想使用的数据位置的CNAME Record Value作为域名管理系统中的别名。例如您创建Bucket时有效数据位置为沈阳、兰州、成都、贵阳，则Bucket中展示的CNAME Record Value为BucketName.ooswebsitecn.ooslnsy.ctyunapi.cn，您可以将BucketName.ooswebsitecn.ooslnsy.ctyunapi.cn作为别名，也可以将兰州、成都或者贵阳为域名的CNAME Record Value作为您的别名。 4. 上传文件。 将网站的所有文件（html、CSS、js、图片等）上传到之前创建的Bucket中， 注意要保持文件之间的相对路径。 5. 配置Bucket网站属性：可以通过控制台或者调用本接口配置。

告警事件历史 1. 在Ecs应用详情左边导航栏中选择“告警事件历史“ 2. 在列表页查看告警事件列表信息 具体使用说明可参考应用性能监控>用户指南>告警管理>查看告警事件历史 告警发送历史 1. 在Ecs应用详情左边导航栏中选择“告警发送历史“ 2. 在列表页查看告警发送列表信息 具体使用说明可参考应用性能监控>用户指南>告警管理>查看告警发送历史 通知组 告警支持通过短信、邮箱、翼连等方式将告警信息通知给对应接收人，我们可以在通知组中设置接收人信息。 1. 在Ecs应用详情左边导航栏中选择“通知组“，进入”通知对象”，设置通知基本信息 具体使用说明可参考应用性能监控>用户指南>告警管理>通知对象 通知策略 创建告警通知策略，当告警触发时，只要不符合静默策略，就会依照通知策略在对应渠道发送告警信息给对应的通知对象。 1. 在Ecs应用详情左边导航栏中选择“通知策略“ 2. 查看左侧菜单栏“通知策略列表”，点击具体策略，右侧面板展示策略详情 具体使用说明可参考应用性能监控>用户指南>告警管理>通知策略

本章节主要介绍通过弹性公网IP访问。 为了方便用户访问开源组件的Web站点，翼MapReduce集群支持通过为集群绑定弹性公网IP的方式，访问集群上托管的开源组件。该方式更加简便易操作，推荐使用该方式访问开源组件的Web站点。 绑定弹性公网IP 1. 在集群列表页面，单击“集群名称”列下需要绑定IP的集群名称，进入该集群信息页面。 2. 确定需要开通公网访问组件所在的节点。可以通过单击“访问链接与端口”，在“集群服务名称”中找到需要开通公网访问的组件，其“原生UI地址”中包含所在节点内网IP地址。 3. 单击“节点管理”，点击“节点组名称”列的下拉按钮，展开对应的节点信息，确定需要开通公网访问的节点，单击“操作”列的“更多”。 4. 单击“绑定弹性IP”，在“绑定弹性IP”的弹框中，如果您账号下没有可用的弹性公网IP，需要点击“+创建弹性公网IP”按钮跳转至新页面进行创建；如果您账号下有可用的弹性公网IP，可以通过下拉“弹性IP”的选择框选择IP后，点击“确认”进行绑定。 5. 绑定弹性IP后，根据需要对集群安全组规则进行相应的添加或修改，变更端口的访问权限。之后可以通过“公网IP：端口”的方式访问该开源组件的Web站点。

cat CentOSOpenStackrocky.repo [centotackrocky] nameopenstackrocky baseurl enabled1 gpgcheck0 [qumekvm] nameqemukvm baseurl enabled1 gpgcheck0 7. 执行以下命令，安装packstack。 plaintext 安装leatherman yum y install leatherman 安装packstack yum y install openstackutils openstackpackstack 8. 执行以下命令，生成应答文件并编辑配置文件。 plaintext packstack genanswerfile/root/openstack.ini vim openstack.ini 除修改以下所列项外，其他项不保持变（密码字段，可根据需要自行修改，这里全部配置为了 123456） CONFIGDEFAULTPASSWORD123456 CONFIGAODHINSTALLn CONFIGMARIADBUSERroot CONFIGMARIADBPW123456 CONFIGKEYSTONEDBPW123456 CONFIGKEYSTONEADMINEMAILroot@localhost CONFIGKEYSTONEADMINUSERNAMEadmin CONFIGKEYSTONEADMINPW123456 CONFIGNEUTRONML2TYPEDRIVERSvxlan,flat CONFIGNEUTRONML2TENANTNETWORKTYPESvxlan CONFIGNEUTRONML2MECHANISMDRIVERSopenvswitch CONFIGNEUTRONL2AGENTopenvswitch CONFIGNEUTRONOVSBRIDGEMAPPINGSextnet:brex CONFIGNEUTRONOVSBRIDGEIFACESbrex:eth0 CONFIGNEUTRONOVSEXTERNALPHYSNETextnet CONFIGPROVISIONDEMOn 9. 执行以下命令，通过应答文件进行安装。 plaintext packstack answerfile/root/openstack.ini 10. 打开浏览器，输入 11. 执行以下命令，导入镜像。 plaintext openstack image create "centos" file centos.img diskformat qcow2 containerformat bare public 12. 执行以下命令，创建网络。 plaintext openstack create net vnet openstack network create providernetworktypeflat providerphysicalnetworkextnet external share extnet 13. 执行以下命令，创建子网。 plaintext openstack subnet create subnet1 network int subnetrange 172.16.1.0/24 gateway 172.16.1.1 openstack subnet create ex network extnet gateway 192.168.101.254 allocationpool start192.168.101.200,end192.168.101.205 subnetrange 192.168.101.0/24 14. 执行以下命令，创建路由。 plaintext openstack router create route openstack router add subnet route ex openstack router add subnet route subnet1 15. 执行以下命令，创建规格。 plaintext openstack flavor create vcpus 1 ram 512 disk 10 test1 16. 执行以下命令，创建密钥。 plaintext openstack keypair create cy 17. 执行以下命令，创建虚拟机。 plaintext openstack server create flavor test1 image centos nic netidcc9d7710d82e4109941256ae02a18d7d securitygroup default keyname cy test 18. 执行以下命令，连接虚拟机并上传qemuga、cloudinit以及virtio组件。 下载路径在“镜像服务”>“私有镜像”>“创建私有镜像”页面中连接下载。 根据说明文档安装后关闭虚拟机。 19. 执行以下命令，将云主机转为image。 plaintext openstack server image create 1b1d3411b75549809da6db01d8331600 name cytestimg 20. 执行以下命令，将image保存到本地（此时的镜像为raw格式）。 plaintext openstack server image create 1b1d3411b75549809da6db01d8331600 name cytestimg 21. 执行以下命令，将镜像转换为qcow2格式（防止镜像过大，上传到桶失败）。 plaintext qemuimg convert f raw o qcow2 cytestimg centos.qcow2 22. 将镜像上传到天翼云。 进入对象存储原生版，创建桶后，上传镜像到桶中（镜像较大建议通过oss api上传）。 23. 创建私有镜像。 通过“镜像服务”>“私有镜像”>“创建私有镜像”，选择镜像文件并填写对象的地址，然后转为私有镜像。 其中，地址可以在对象存储控制台中的“更多”>“复制URL”选项中复制获得。 24. 创建成功后，“弹性云主机”>“创建云主机”，镜像处选择私有镜像。创建完成后可进入云主机查看数据完整性。

本章节主要介绍翼MR Manager的集群服务配置的查看操作。 操作步骤 1. 登录翼MR管理控制台。 2. 单击“我的集群”，单击指定的集群名称，进入集群信息页面。 3. 单击“翼MR Manager”tab，单击“前往翼MR Manager”。 4. 进入到翼MR Manager以后，单击菜单“集群服务”，进入集群服务列表页面。 5. 选择指定集群服务，单击集群服务名称进入集群服务详情页面。 6. 单击“配置管理”tab，即可查看该集群服务的所有配置。如图所示： 7. 对于隐私配置项，默认将加密展示，点击文本框右侧查看按钮，输入配置主密码即可查看。如果当前集群开通后未设置过主密码，请参考用户手册的配置管理主密码设置，设置主密码后，进行查看。 说明运维变量配置 在服务的default分组下，以vars.yaml后缀结尾的配置文件，为运维变量配置文件。运维变量配置文件不是服务本身的配置文件，而是存放Manager运维操作变量的文件，每个运维变量的含义如下表。 组件 运维变量名 是否建议修改 含义说明 HDFS activenamenode 否 部署时使用，在这台机器上执行format操作。 HDFS kdcmaster 否 部署和扩容时使用，kerberos的master节点，用于创建keytab文件。 HDFS ldapGuestPassword 否 部署和扩容时使用，连接ldap的guest用户密码，此权限只能查看用户，不能创建用户。 HDFS ldapuri 否 部署和扩容时使用，配置ldap的连接地址。 HDFS dfsclusterId 否 部署时使用，ns的默认值。 HDFS pipelinejobretrytimes 是 流水线重试次数。 HDFS jobretrybasedonpipelinetypes 否 自动重试的流水线类型。 YARN 无 共享HDFS运维变量。 ZooKeeper kerberosRealm 否 部署时使用，配置kerberos的realm的信息。 ZooKeeper kdcmaster 否 部署和扩容时使用，kerberos的master节点，用于创建keytab文件。 ZooKeeper zksuperuser 否 部署和扩容时使用，配置zk的超级用户。 ZooKeeper zksuperuserpasswd 否 部署和扩容时使用，配置超级用户的密码。 ZooKeeper componentuser 否 暂未使用。 ZooKeeper dataLogDir 否 部署时使用，需要通过ansbile创建目录。 ZooKeeper dataDir 否 部署时使用，需要通过ansbile创建目录。 Kerberos kerberosRealm 否 部署时使用，配置kerberos的realm的信息。 Kerberos kdcmaster 否 部署时使用，指定master节点，执行master节点的操作。 Kerberos kdcslave 否 部署时使用，指定slave节点，执行slave节点的操作。 Kerberos kerberosdatabasepasswd 否 部署时使用，配置kerberos的数据库密码。 Kerberos kerberosadminuser 否 部署时使用，配置kerberos的admin用户。 Kerberos kerberosadminpasswd 否 部署时使用，配置kerberos的admin用户密码。 OpenLDAP ldapmasterhostname 否 部署时使用，指定master节点，执行master节点的操作。 OpenLDAP ldapslavehostname 否 部署时使用，指定slave节点，执行slave节点的操作。 OpenLDAP olcRootDN 否 部署时使用，服务配置。 OpenLDAP olcSuffix 否 部署时使用，服务配置。 OpenLDAP ldapAdminPwd 否 部署时使用，admin用户的密码。 OpenLDAP ldapGuestPwd 否 部署时使用，guest用户的密码。 OpenLDAP ldapuri 否 部署时使用，ldap的连接信息。 OpenLDAP ldapBaseUgDN 否 部署时使用，服务配置。 OpenLDAP pipelinejobretrytimes 是 流水线重试次数。 OpenLDAP jobretrybasedonpipelinetypes 否 自动重试的流水线类型。 HBase kdcmaster 否 部署和扩容时使用，kerberos的master节点，用于创建keytab文件。 HBase pipelinejobretrytimes 是 流水线重试次数。 HBase jobretrybasedonpipelinetypes 否 自动重试的流水线类型。 Spark kdcmaster 否 部署时使用，kerberos的master节点，用于创建keytab文件。 Spark ldapmaster 否 部署时使用，ldap的master节点。 Spark eventlogdir 否 部署时使用，通过ansible创建目录。 Spark sparkhome 否 部署时使用，通过ansible创建目录。 Hive kdcmaster 否 部署时使用，kerberos的master节点，用于创建keytab文件。 Hive ldapmaster 否 部署时使用，ldap的master节点。 Hive databasepass 否 部署时使用，hive使用的数据库密码，需要用户填写。 Kafka kdcmaster 否 部署和扩容时使用，kerberos的master节点，用于创建keytab文件。 Kafka kerberosrealm 否 kerberos的realm的信息。 Kafka logdirs 否 （目前不再使用，通过从配置文件中渲染来创建目录）部署和扩容时使用，通过ansible创建目录。 Kafka pipelinejobretrytimes 是 流水线重试次数。 Kafka jobretrybasedonpipelinetypes 否 自动重试的流水线类型。 Kyuubi kdcmaster 否 部署时使用，kerberos的master节点，用于创建keytab文件。 Kyuubi ldapmaster 否 部署时使用，ldap的master节点。 Kyuubi kyuubilogdir 否 目录。部署时使用，通过ansible创建。 Kyuubi kyuubieventlogdir 否 目录。部署时使用，通过ansible创建。 Kyuubi kyuubiworkdir 否 目录。部署时使用，通过ansible创建。 Kyuubi adminuser 否 目录的属主。 Kyuubi usergroup 否 目录的属组。 Kyuubi pipelinejobretrytimes 是 流水线重试次数。 Kyuubi jobretrybasedonpipelinetypes 否 自动重试的流水线类型。 Flink kdcmaster 否 部署时使用，kerberos的master节点，用于创建keytab文件。 Flink ldapmaster 否 部署时使用，ldap的master节点。 Flink logDir 否 目录。部署时使用，通过ansible创建。 Flink HistoryServerDir 否 目录。部署时使用，通过ansible创建。 Flink pipelinejobretrytimes 是 流水线重试次数。 Flink jobretrybasedonpipelinetypes 否 自动重试的流水线类型。 Elasticsearch CERTNODE 否 部署时使用，指定证书节点，在节点上执行生成证书的操作。 Elasticsearch ESDATADIRS 否 目录。部署时使用，通过ansible创建。 Elasticsearch ESDEFAULTPASSWORD 否 部署时使用。默认的密码，随机密码。 Doris FEDEFAULTLEADERHOSTNAME 否 部署和扩容时使用，指定leader节点，在上面执行leader的相关操作。 Doris FEDEFAULTPASSWORD 是 部署时随机生成的Doris组件root密码。节点扩容需要使用该密码，如用户已修改，需要设置正确的值，否则会影响扩容操作。 Doris FEHTTPPORT 否 服务端口，不推荐修改。 Doris FEQUERYPORT 否 服务端口，不推荐修改。 Doris FEEDITLOGPORT 否 服务端口，不推荐修改。 Doris BESTORAGEROOTPATH 否 服务端口，不推荐修改。 Doris BEHEARTBEATSERVICEPORT 否 服务端口，不推荐修改。 Doris BROKERIPCPORT 否 服务端口，不推荐修改。 Trino datadir 否 目录。部署和扩容时使用，通过ansible创建。 Trino kerberosrealm 否 kerberos的realm的信息。 Trino kdcmaster 否 部署时使用，kerberos的master节点，用于创建keytab文件。 Trino ldapmaster 否 部署时使用，ldap的master节点。 Trino coordinator 否 部署和扩容时使用，指定主节点，在上面执行主节点的相关操作。 Trino uiuser 否 ui的用户。 Trino uipassword 否 ui的密码，部署时随机生成。 Trino serveruser 否 server的用户。 Trino serverpassword 否 server的密码，部署时随机生成。 Trino pipelinejobretrytimes 是 流水线重试次数。 Trino jobretrybasedonpipelinetypes 否 自动重试的流水线类型。 Ranger dbhost 否 外置数据库信息，需要用户填写。 Ranger dbname 否 外置数据库信息，需要用户填写。 Ranger dbuser 否 外置数据库信息，需要用户填写。 Ranger dbpassword 否 外置数据库信息，需要用户填写。 Ranger dbrootuser 否 部署时使用，ranger使用的外置数据库信息。 Ranger dbrootpassword 否 部署时使用，ranger使用的外置数据库信息。 Ranger rangerpassword 否 ranger admin用户密码。 Ranger SYNCLDAPBINDPASSWORD 否 部署时使用，ranger访问ldap的密码。 Ranger SYNCSOURCE 否 用户同步方式，ldap。 Ranger kerberosrealm 否 kerberos的realm的信息。 Ranger kdcmaster 否 部署时使用，kerberos的master节点，用于创建keytab文件。 Ranger SYNCLDAPURL 否 ldap相关信息。 Ranger POLICYMGRURL 否 ranger admin url信息。 Ranger separatedbamode 否 是否单独执行DBA，默认true，表示需要提前创建ranger使用的数据库和用户，并授权，不推荐修改。 Ranger pipelinejobretrytimes 是 流水线重试次数。 Ranger jobretrybasedonpipelinetypes 否 自动重试的流水线类型。 Knox kdcmaster 否 部署时使用，kerberos的master节点，用于创建keytab文件。 Logstash pipelinejobretrytimes 是 流水线重试次数。 Logstash jobretrybasedonpipelinetypes 否 自动重试的流水线类型。 JeekeFS kdcmaster 否 部署时使用，kerberos的master节点，用于创建keytab文件。 KafkaUI kdcmaster 否 部署时使用，kerberos的master节点，用于创建keytab文件。 KafkaUI ldapGuestPassword 否 部署时使用，Openldap的guest用户密码。 Pushgateway PUSHGATEWAYPASSWORD 否 部署时使用，Pushgateway服务的密码。 Pushgateway PUSHGATEWYUSERNAME 否 部署时使用，Pushgateway服务的用户名。 TezUI pipelinejobretrytimes 是 流水线job最大重试次数。 TezUI jobretrybasedonpipelinetypes 否 基于的流水线类型。

本章节主要介绍翼MapReduce的导入证书操作。 操作场景 CA证书用于FusionInsight Manager各个模块、集群的组件客户端与服务端在通信过程中加密数据，实现安全通信。FusionInsight Manager支持快速导入CA证书，以确保产品安全使用。适用于以下场景： 首次安装好集群以后，需要更换企业证书。 企业证书有效时间已过期或安全性加强，需要更换为新的证书。 对系统的影响 更换证书过程中集群需要重启，此时系统无法访问且无法提供服务。 更换证书以后，所有组件和Manager的模块使用的证书将自动更新。 更换证书以后，还未信任该证书的本地环境，需要重新安装证书。 前提条件 证书文件和密钥文件可向企业证书管理员申请或由管理员生成。 获取需要导入到集群的CA证书文件（ .crt）、密钥文件（ .key）以及保存访问密钥文件密码的文件（password.property）。证书名称和密钥名称支持大小写字母和数字。以上文件在生成以后需要打包成tar格式压缩包。 准备一个访问密钥文件的密码用于访问密钥文件。 密码复杂度要求如下，如果密码复杂度不满足如下要求，可能存在安全风险： − 密码字符长度最小为8位。 − 至少需要包含大写字母、小写字母、数字、特殊字符~!?,.;'(){}[]/<>@ $%^&+中的4种类型字符。 向证书管理员申请证书时，请提供访问密钥文件的密码并申请crt、cer、cert和pem格式证书文件，以及key和pem格式密钥文件。申请的证书需要有签发功能。

本章节主要介绍翼MapReduce的用户组管理操作。 操作场景 FusionInsight Manager最大支持5000个用户组（包括系统内置用户组）。根据不同业务场景需要，管理员使用FusionInsight Manager创建并管理不同用户组。用户组通过绑定角色获取操作权限，用户加入用户组后，可获得用户组具有的操作权限。用户组同时可以达到对用户进行分类并统一管理多个用户。 前提条件 管理员已明确业务需求，并已创建业务场景需要的角色。 已登录FusionInsight Manager。 添加用户组 1. 选择“系统 > 权限 > 用户组”。 2. 在组列表上方，单击“添加用户组”。 3. 填写“组名”和“描述”。 “组名”由数字、字母、或下划线、中划线（）或空格组成，不区分大小写，长度为1～64位，不能与系统中已有的用户组名相同。 4. 在“角色”，单击“添加”选择指定的角色并添加。 说明 对于已启用Ranger授权的组件（HDFS与Yarn除外），Manager上非系统默认角色的权限将无法生效，需要通过配置Ranger策略为用户组赋权。 HDFS与Yarn的资源请求在Ranger中的策略条件未能覆盖的情况下，组件ACL规则仍将生效。 5. 在“用户”，单击“添加”选择指定的用户并添加。 6. 单击“确定”完成用户组创建。 查看用户组信息 用户组列表默认显示所有用户组。单击指定用户组名称左侧的箭头展开详细信息，可以查看此用户组中的用户数、用户以及绑定的角色。 修改用户组信息 在要修改信息用户组所在的行，单击“修改”，修改用户组信息。

本章节主要介绍翼MapReduce的查看集群静态资源操作。 操作场景 大数据管理平台支持通过静态服务资源池对没有运行在Yarn上的服务资源进行管理和隔离。系统支持基于时间的静态服务资源池自动调整策略，使集群在不同的时间段自动调整参数值，从而更有效地利用资源。 系统管理员可以在FusionInsight Manager查看静态服务池各个服务使用资源的监控指标结果，包含监控指标如下： 服务总体CPU使用率 服务总体磁盘IO读速率 服务总体磁盘IO写速率 服务总体内存使用大小 说明 启用多实例功能后，支持管理HBase所有服务实例使用的CPU、I/O和内存总量。 操作步骤 1. 在FusionInsight Manager界面，选择“集群 > 待操作集群的名称 > 静态服务池”。 2. 在“配置组列表”，单击一个配置组，例如“default”。 3. 查看系统资源调整基数。 “系统资源调整基数”表示集群中每个节点可以被集群服务使用的最大资源。如果节点只有一个服务，则表示此服务独占节点可用资源。如果节点有多个服务，则表示所有服务共同使用节点可用资源。 “CPU”表示节点中服务可使用的最大CPU。 “Memory”表示节点中服务可使用的最大内存。 4. 在图表区域，查看集群服务资源使用状态指标数据图表。 说明 可通过“为图表添加服务”，将特定服务的静态服务资源数据添至图表，最多可选择12个服务。 管理单个图表的操作，可参见

本章主要介绍翼MapReduce的修改集群组件鉴权配置开关功能。 操作场景 集群部署为安全模式或者普通模式时，HDFS和ZooKeeper默认会对访问服务的用户进行鉴权，没有权限的用户无法访问HDFS和ZooKeeper中的资源。集群部署为普通模式时，HBase和Yarn默认不会对访问用户进行鉴权，所有用户可以访问HBase和Yarn中的资源。 管理员可以根据业务实际需要，在普通模式集群中配置开启HBase和Yarn鉴权，或关闭HDFS和ZooKeeper鉴权。 对系统的影响 修改开关后服务的配置将过期，需要重启对应的服务使配置生效。 开启HBase鉴权 1.登录FusionInsight Manager。 2.选择“集群 > 待操作集群的名称 > 服务 > HBase > 配置”。 3.单击“全部配置”。 4.搜索参数“hbase.coprocessor.region.classes”、“hbase.coprocessor.master.classes”和“hbase.coprocessor.regionserver.classes”。 将协处理器参数“org.apache.hadoop.hbase.security.access.AccessController”添加到以上参数原有参数值末尾，使用英文逗号与原有协处理器分隔。 5.单击“保存”，单击“确定”。 等待界面提示操作完成。 关闭HBase鉴权 关闭HBase鉴权后，原有的权限数据会继续保留。如果需要删除权限信息，请在关闭鉴权后，进入hbase shell删除表hbase:acl。 1.登录FusionInsight Manager。 2.选择“集群 > 待操作集群的名称 > 服务 > HBase > 配置”。 3.单击“全部配置”。 4.搜索参数“hbase.coprocessor.region.classes”、“hbase.coprocessor.master.classes”和“hbase.coprocessor.regionserver.classes”。 将协处理器参数“org.apache.hadoop.hbase.security.access.AccessController”去除。 5.单击“保存”，单击“确定”。 等待界面提示操作完成。

本章主要介绍翼MapReduce的修改LDAP管理帐户密码功能。 操作场景 建议管理员定期修改集群LDAP管理帐户“cnkrbkdc,ouUsers,dchadoop,dccom”和“cnkrbadmin,ouUsers,dchadoop,dccom”的密码，以提升系统运维安全性。 对系统的影响 修改密码后需要重启KrbServer服务。 修改密码后需要确认LDAP管理帐户“cnkrbkdc,ouUsers,dchadoop,dccom”和“cnkrbadmin,ouUsers,dchadoop,dccom”是否被锁定，在集群主管理节点上执行如果下命令查看krbkdc是否被锁定（krbadmin用户方法类似）： 说明 oldap端口查询方法： 1. 登录FusionInsight Manager，选择“系统 > OMS > oldap > 修改配置”； 2. “Ldap服务监听端口”参数值即为oldap端口。 ldapsearch H ldaps://OMSFLOAT IP地址:OLdap端口 LLL x D cnkrbkdc,ouUsers,dchadoop,dccom W b cnkrbkdc,ouUsers,dchadoop,dccom e ppolicy 输入LDAP管理帐户krbkdc的密码，出现如下提示表示该用户被锁定，则需要解锁用户，具体请参见解锁LDAP用户和管理帐户。 ldapbind: Invalid credentials (49); Account locked 前提条件 已确认主管理节点IP地址。 操作步骤 1.以omm用户通过管理节点IP登录主管理节点。 2.执行以下命令，切换到目录。 cd ${BIGDATAHOME}/omserver/om/meta0.0.1SNAPSHOT/kerberos/scripts 3.执行以下命令，修改LDAP管理帐户密码。 ./okerberosmodpwd.sh 输入旧密码后，再输入两次新密码。 密码复杂度要求： 密码字符长度为16～32位。 至少需要包含大写字母、小写字母、数字、特殊字符~!@

本章节主要介绍翼MapReduce的角色管理操作。 操作场景 FusionInsight Manager最大支持5000个角色（包括系统内置角色，不包括租户自动创建的角色）。根据不同业务场景需要，管理员使用FusionInsight Manager创建并管理不同角色，通过角色对Manager和组件进行授权管理。 前提条件 管理员已明确业务需求。 登录FusionInsight Manager。 添加角色 1. 选择“系统 > 权限 > 角色”。 2. 单击“添加角色”，然后在“角色名称”和“描述”输入角色名字与描述。 “角色名称”由数字、字母、或下划线组成，长度为3～50位，不能与系统中已有的角色名相同。 3. 在“配置资源权限”列表，选择待增加权限的集群，为角色选择服务权限。 在设置组件的权限时，可通过右上角的“搜索”框输入资源名称，然后单击搜索图标显示搜索结果。 搜索范围仅包含当前权限目录，无法搜索子目录。搜索关键字支持模糊搜索，不区分大小写。 说明 对于已启用Ranger授权的组件（HDFS与Yarn除外），Manager上非系统默认角色的权限将无法生效，需要通过配置Ranger策略为用户组赋权。 HDFS与Yarn的资源请求在Ranger中的策略条件未能覆盖的情况下，组件ACL规则仍将生效。 设置组件的权限时，每次最大支持1000条权限。 4. 单击“确定”完成。 修改角色信息 在要修改信息角色所在的行，单击“修改”。 导出角色信息 单击“导出全部”，可一次性导出所有角色信息，可导出“TXT”或者“CSV”格式文件。 角色信息包含以下几个字段：角色名、描述、是否默认角色。

负载均衡器监听的端口和后端主机的端口关系是什么？是否可以不一致？ 负载均衡器监听的端口是客户端到负载均衡器之间的请求的目标端口号，是服务对外暴露的端口号。而后端主机的端口号是实际业务的端口号，可以和监听器的端口号不一样。 弹性负载均衡正在运行中，此时增加监听器，添加新的负载方式是否会导致业务中断？ 负载均衡器下支持创建多个监听器，不同监听器的运行相互独立。在已有监听器的负载均衡器下创建新监听器，不影响已经创建的监听器的现有连接，不会引发业务中断。 默认情况下一个负载均衡器可以创建3个监听器，同一个负载均衡器的多个监听器共享负载均衡器的性能。在总体性能不足的情况下，可能会因监听器之间性能争抢对业务质量产生影响。 监听器是否支持创建转发策略？ TCP/UDP协议的监听器不支持。 HTTP/HTTPS协议的监听器，在没有设置重定向的情况下，支持配置基于域名和路径的转发策略。 重定向的监听器不可创建转发策略，到此监听器的访问都将被重定向至已配置的HTTPS监听器。 监听器的转发策略的状态显示为“异常”的原因是什么？ 监听器的转发策略状态显示为“异常”可能有以下几个原因： 1. 如果监听器的转发策略配置的后端主机出现异常或者不可用，负载均衡器无法将请求转发给后端主机，导致转发策略状态显示为“异常”。 2. 负载均衡器会定期进行健康检查来判断后端主机的可用性。如果健康检查失败次数超过了设定的阈值，负载均衡器会将转发策略状态标记为“异常”。 3. 如果监听器的转发策略配置存在错误，比如创建了相同的转发策略（出现转发策略冲突），则会出现转发策略异常，此时即使把前面创建的转发策略删除，后面的转发策略依然会显示异常。 4. 如果后端安装了一些主机安全工具，比如windows的edr，linux的翼盾，或者是添加云墙，也可能会导致显示异常。

本章节主要介绍翼MapReduce服务Host健康检查指标项说明。 Swap使用率 指标项名称 ：Swap使用率 指标项含义 ：系统Swap使用率，计算方法：已用Swap大小/总共Swap大小。当前阈值设置为75.0%，如果使用率超过阈值，则认为不健康。 恢复指导 ： 1.确认节点Swap使用率。 登录检查结果不健康的节点，执行free m查看swap总量和已使用量，如果swap使用率已超过阈值，则执行2。 2.如果Swap使用率超过阈值，建议对系统进行扩容，如：增加节点。 主机文件句柄使用率 指标项名称 ：主机文件句柄使用率 指标项含义 ：系统中文件句柄的使用率，主机文件句柄使用率已用句柄数/总共句柄数。如果使用率超过阈值，则认为不健康。 恢复指导 ： 1.确认主机文件句柄使用率。 登录检查结果不健康的节点，执行 cat /proc/sys/fs/filenr ，输出结果的第一列和第三列分别表示系统已使用的句柄数和总句柄数，如果使用率超过阈值，则执行2。 2.如果主机文件句柄使用率超过阈值，建议对系统进行排查，具体分析文件句柄的使用情况。 NTP偏移量 指标项名称 ：NTP偏移量 指标项含义 ：NTP时间偏差。如果时间偏差超过阈值，则认为不健康。 恢复指导： 1.确认NTP时间偏差。 登录检查结果不健康的节点，执行/usr/sbin/ntpq np查看信息，其中offset列表示时间偏差。如果时间偏差大于阈值，则执行2。 2.如果该指标项异常，则需要检查时钟源配置是否正确，请联系运维人员处理。

本章节主要介绍翼MapReduce的多租户功能使用操作。 租户主要用于资源控制、业务隔离的场景。在实际业务中，管理员需要先明确使用集群资源的业务场景，规划租户。 说明 新安装集群的Yarn组件默认使用的是Superior调度器，参见使用Superior调度器的租户业务。 多租户使用包含三类操作：创建租户、管理租户和管理资源。各操作的具体动作如下表所示。 使用租户的各种操作 操作 具体动作 说明 创建租户 添加租户 添加子租户 添加用户并绑定租户的角色 创建租户时，便可根据业务需求，为租户配置计算资源、存储资源和关联服务；为租户添加用户，并为用户绑定需要的角色。 创建一级租户的用户，需要绑定“Manageradministrator”或“Systemadministrator”角色。创建子租户的用户，至少需要绑定父租户对应的角色。 管理租户 管理租户目录 恢复租户数据 清除租户非关联队列 删除租户 管理租户是随着业务变化对租户进行的编辑操作。 管理或删除一级租户的用户，以及恢复租户数据的用户，需要绑定“Manageradministrator”或“Systemadministrator”角色。 管理或删除子租户的用户，至少需要绑定父租户对应的角色。 管理资源 添加资源池 修改资源池 删除资源池 配置队列 配置资源池的队列容量策略 清除队列配置 管理资源是随着业务变化对租户再次配置资源的操作。 管理资源的用户，需要绑定“Manageradministrator”或“Systemadministrator”角色。

本章节主要介绍翼MapReduce的登录管理节点操作。 操作场景 部分运维操作的脚本与命令需要或只支持在主管理节点上运行。管理员可以根据以下指导确认并登录主或备管理节点。 在Manager查看主备管理节点并登录 1. 登录FusionInsight Manager。 2. 选择“系统 > OMS”。 在“基本信息”区域，“当前主用”表示主管理节点的主机名，“当前备用”表示备管理节点的主机名。 单击主机名可进入对应的主机详情页面。记录主机的IP地址信息。 3. 以root用户登录主或备管理节点。 执行脚本确定主备管理节点并登录 1. 以root用户登录任意部署Manager的节点。 2. 执行以下命令确认主备管理节点。 su omm sh ${BIGDATAHOME}/omserver/om/sbin/statusoms.sh 界面打印信息中“HAActive”参数值为“active”的节点为主管理节点（如下例中“Master1”为主管理节点），参数值为“standby”的节点为备管理节点（如下例中“Master2”为备管理节点）。 HAMode double NodeName HostName HAVersion StartTime HAActive HAAllResOK HARunPhase 192168030 Master1 V100R001C01 20210901 07:12:05 active normal Actived 192168024 Master2 V100R001C01 20210901 07:14:02 standby normal Deactived 3. 执行如下命令获取主备管理节点IP地址。 cat /etc/hosts 获取的主备管理节点IP地址示例如下： 127.0.0.1 localhost 192.168.0.30 Master1 192.168.0.24 Master2 4. 以root用户登录主或备管理节点。

本节介绍翼加密的管理员脱密工具下载以及使用的说明。 下载管理员脱密工具 管理员登录AI云电脑控制台，在文件加密模块的任意列表页面（密级管理、加密策略管理、加密桌面管理、脱密审计）右上角，点击“管理员脱密工具”进行下载。 使用管理员脱密工具 管理员脱密工具的脱密权限，与运行工具的AI云电脑的密级权限相关。 例如，将脱密工具安装到一个密级等级为3级的用户的加密AI云电脑内，则可以使用工具脱密密级等级为3级和3级以下的加密文件。 反之，如果将脱密工具安装到一个未加密的桌面，则无法脱密任何加密文件。 备注：建议管理员尽量在一个密级等级最高的用户的加密AI云电脑内，安装及使用此工具进行文件脱密。 使用工具脱密文件的步骤： 1.安装并运行“管理员脱密工具”； 2.添加需要脱密的文件，可点击“选取文件”添加；也可以直接拖入页面添加。单次添加的脱密文件个数和大小不做限制； 3.点击“选择目标路径”选择文件脱密后保存的路径； 4.点击“确认脱密”提交脱密操作。在执行脱密前，需要输入脱密UKey。脱密UKey在控制台文件加密模块的任意列表页面（密级管理、加密策略管理、加密桌面管理、脱密审计）右上角，点击“管理员脱密工具”即可看到； 注意：脱密UKey是一个随机生成的6位数密码。并且每1分钟会刷新重置。只有在脱密UKey刷新重置前及时输入才能完成脱密。 5.脱密完成后，弹窗结果弹窗。点击“前往所在位置”则打开脱密文件保存的目标路径。脱密文件在下一次编辑保存之前，将保持脱密状态，可直接明文外发。

本章节主要介绍翼MapReduce的配置监控指标数据转储操作。 操作场景 监控数据上报功能可以将系统中采集到的监控数据写入到文本文件，并以FTP或SFTP的形式上传到指定的服务器中。 使用该功能前，管理员需要在FusionInsight Manager页面进行相关配置。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“系统 > 对接 > 监控数据上传”。 3. 单击“监控数据上传”右边的开关。 “监控数据上传”默认为不启用，开关显示为表示启用。 4. 根据下表所示的说明填写上传参数： 上传配置参数 参数名称 参数说明 FTP IP地址模式 必选参数，指定服务器IP地址模式，可选择“IPV4”或“IPV6”。 FTP IP地址 必选参数，指定监控指标数据对接后存放监控文件的FTP服务器。 FTP端口 必选参数，指定连接FTP服务器的端口。 FTP用户名 必选参数，指定登录FTP服务器的用户名。 FTP密码 必选参数，指定登录FTP服务器的密码。 保存路径 必选参数，指定监控文件在FTP服务器保存的路径。 转储时间间隔（秒） 必选参数，指定监控文件在FTP服务器保存的周期，单位为秒。 转储模式 必选参数，指定监控文件发送时使用的协议。可选协议为“SFTP”和“FTP”。建议使用基于SSH v2的SFTP模式，否则可能存在安全风险。 SFTP服务公钥 可选参数，指定FTP服务器的公共密钥，“转储模式”选择“SFTP”时此参数生效。 5. 单击“确定”，设置完成。 说明 选择转储模式为SFTP，当SFTP服务公钥为空时，先进行安全风险提示，确定安全风险后再保存配置。