VPC终端节点(VPC Endpoint)使您能够将 VPC 私密地连接到终端节点服务(天翼云服务、 用户私有服务) VPC终端节点（VPC Endpoint）使您能够将 VPC 私密地连接到终端节点服务（天翼云服务、 用户私有服务），该连接使用天翼云内部网络进行连接，不再绕行公网，为您提供性能更加强大、更加灵活的网络。 VPC终端节点为您提供“终端节点服务”和“终端节点”两种资源。 终端节点服务 终端节点服务（VPC Endpoint Service）指将云服务或用户私有服务配置为VPC终端节点支持的服务。分为“网关”和“接口”两种类型。 网关型：由系统配置的受VPC终端节点支持的云服务，用户可直接使用。 接口型：包括系统配置的云服务和用户自己创建的私有服务。 说明 云服务：指云平台上的一些服务被配置为终端节点服务，默认由系统直接配置。用户没有权限配置云服务，您在创建终端节点时可以根据区域直接选择系统中相应的云服务。 用户私有服务：指用户将自己VPC中的服务资源配置为终端节点服务，这些服务资源为增强型负载均衡或者云服务器。 终端节点服务通过专属网关，可以将 VPC 中的服务方便的提供给其它 VPC 中的资源使用，实现跨 VPC 的访问，而不必暴露服务端相关的网络信息，使您的访问更加安全、可靠。 终端节点 终端节点（VPC Endpoint）在VPC和终端节点服务之间提供连接通道。您可以在VPC中创建自己的应用程序并将其配置为终端节点服务，同一区域下的其他VPC可以通过创建在自己VPC内的终端节点访问终端节点服务。包括“接口终端节点”和“网关终端节点”两种类型。 接口终端节点：是指具备私有IP地址的弹性网络接口，作为接口型终端节点服务的通信入口。 网关终端节点：是一个网关，在其上配置路由，用于将流量指向网关型终端节点服务。

本文为您介绍飞塔防火墙如何在本地站点中加载VPN配置。 使用IPsec VPN建立站点到站点的连接时，在配置完天翼云VPN网关后，您还需在本地站点的网关设备中进行VPN配置。 前提条件 已经在天翼云VPC内创建了IPsec连接。 已经下载了IPsec连接的配置。 IPsec协议信息 配置 示例值 IKE 认证算法 SHA1 IKE 加密算法 AES128 IKE DH分组 Group5 IKE IKE版本 IKEv1 IKE 生命周期 86400 IKE 协商模式 main IKE PSK ctForti IPsec 认证算法 SHA1 IPsec 加密算法 AES128 IPsec PFS DH group5 IPsec 生命周期 3600 网络配置信息 配置项 示例值 VPC 待和本地IDC互通的私网网段。 VPN网关 天翼云VPN网关的公网IP地址。 本地IDC 待和天翼云VPC互通的私网网段。 本地IDC 本地网关设备的公网IP地址。 操作步骤 1. 以命令行方式登录飞塔防火墙命令行。 2. 添加IPsec VPN第一阶段的IKE配置。 config vpn ipsec phase1interface edit "Fotrictyun" set interface "wan" set peertype any set netdevice disable set proposal aes128sha1 set dpd onidle set dhgrp 5 set keylife 86400 set remotegw 121...152 set psksecret ctForti next end 3. 添加IPsec VPN第二阶段的IPsec配置。 config vpn ipsec phase2interface edit "Fotrictyun" set phase1name "Fotrictyun" set proposal aes128sha1 set dhgrp 5 set keylifeseconds 3600 set autonegotiate enable set srcsubnet 192.168.0.0 255.255.255.0 set dstsubnet 192.168.3.0 255.255.255.0 next end 4. 配置防火墙策略。 config firewall address edit "Local192.168.0.0/24" set subnet 192.168.0.0 255.255.255.0 next edit "Remote192.168.3.0/24" set subnet 192.168.3.0 255.255.255.0 next edit "ctyunVPNGateway" set subnet 121...152 255.255.255.255 next end config firewall policy edit 4 set srcintf "lan" set dstintf "toctyun" set action accept set srcaddr "Local192.168.0.0/24" set dstaddr "Remote192.168.3.0/24" set schedule "always" set service "ALL" next edit 5 set srcintf "toctyun" set dstintf "lan" set action accept set srcaddr "Remote192.168.3.0/24" set dstaddr "Local192.168.0.0/24" set schedule "always" set service "ALL" next end 5. 配置访问VPC的静态路由。 config router static edit 3 set dst 192.168.3.0 255.255.255.0 set device "toctyun" next edit 4 set dst 192.168.3.0 255.255.255.0 set distance 254 set blackhole enable next end 6. 测试连通性。 您可以利用您的云主机和数据中心的主机进行连通性测试。

本文带您了解如何使用站点监控。 操作场景 站点监控用于模拟真实用户对远端服务器的访问，从而帮助您探测远端服务器的可用性、连通性等问题。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 说明 站点监控功能当前为受限开放阶段，仅支持部分资源池，如有需要可以联系客户经理提单开通。 查看站点监控任务 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控”，进入监控概览页面。 4. 单击“网络分析与监控”>"站点监控”，进入站点监控界面，查看站点监控列表。 5. 单击待选择站点监控任务“查看监控图表”，进入站点监控任务详情页，查看响应时间地图、探测异常统计以及站点监控指标。 说明 关于创建站点监控任务，请参见

本页介绍天翼云TeleDB数据库如何报告可能的安全漏洞或安全缺陷。 天翼云数据库团队欢迎您通过工单或邮件（teledb@chinatelecom.cn）向我们报告数据库产品可能存在的安全漏洞或安全缺陷，我们将第一时间处理并向您反馈结论。 为提高确认安全漏洞的效率，欢迎您在相关报告中明确发现产品或组件版本，复现问题的具体方法。相关安全漏洞在未经天翼云确认前，请勿向互联网或第三方公开。 天翼云数据库团队漏洞处理的大概流程： 报告者将可能的安全漏洞报告给天翼云数据库团队; 团队记录并第一时间安排专家复现验证，分析原因； 与报告者私下沟通确认更多漏洞细节； 无论是否确认为安全漏洞，均答复报告者具体原因和后续方案； 若为超危、高危安全漏洞的且无法短时间修复的，将先输出临时解决方案，再进行完整修复； 若为新增安全漏洞的，将按照国家相关规定，向国内相关漏洞收录组织报告； 修复完成后，通过合适手段向天翼云数据库用户公开漏洞信息和修复方案。

本节为您介绍天翼云CTRDS MySQL为源的迁移任务源端配置。 前提条件 （1）天翼云CTRDS MySQL数据库的源端版本为5.7、8.0版本。 （2）天翼云CTRDS MySQL数据库源端已关闭大小写敏感。 （3）天翼云CTRDS MySQL数据库的源端版本为5.7、8.0版本。 （4）目标端数据库的存储空间必须大于源端数据库所占用的存储空间。 使用限制 待迁移的表需具备主键，否则会导致该表无法进行增量迁移和稽核修复； 不支持迁移mysql、informationschema、performanceschema等天翼云CTRDS MySQL系统库； 目标库非自建MySQL的情况下，结构迁移仅支持迁移表结构； 迁移过程中，可迁移源端数据库的表结构、全量数据和增量数据。 源端权限要求 由于权限查询需要设计到mysql.user及mysql.db两张系统表。所以需要先授予用户以上两张表的SELECT权限。 迁移模式 所需权限 基础权限 SELECT 全量迁移 需具备基础权限，且具备REFERENCES, INDEX, SHOW VIEW, TRIGGER和全局级别:PROCESS权限 结构迁移 需具备基础权限，且具备REFERENCES, INDEX, SHOW VIEW, TRIGGER，CREATE ROUTINE, SUPER (根据不同的结构，所需权限也不同) 增量迁移 需具备基础权限，且具备全局级别REPLICATION CLIENT,REPLICATION SLAVE权限，并开启binlog row模式 稽核修复 需具备基础权限 源端配置请参照自建MySQL为源的迁移任务源端配置。

天翼云为您提供渗透测试服务等级协议说明，请您点击查看。 天翼云渗透测试服务协议（新） 自2021年11月11日起，新版天翼云渗透测试服务协议生效。 天翼云渗透测试服务协议（旧）

本文介绍天翼云APP支持哪些安全防护及如何开启。 天翼云APP支持用户对APP进行安全防护。 设置验证密码 第一次使用安全保护时，需要设置验证密码，步骤如下 1、登录天翼云APP，点击【我的】 【安全防护】 2、开启【APP启动保护】 3、按页面提示设置手势密码 验证方式 面容验证：可以选择使用系统预设的面容用于验证，面容认证更便捷 手势密码：可以对首次设置的手势密码进行修改，并支持选择是否展示手势轨迹 说明 面容验证和手势密码可同时开启，默认使用面容验证，也可选择切换验证方式。 关闭安全防护 如需关闭安全防护，可以在点击【我的】 【安全防护】选择关闭 注意 为了确保您在天翼云APP上进行的所有关键操作都经由您本人确认，保护您的资产和信息安全，建议您保持安全防护开启。

介绍分布式消息服务MQTT实例详情 实例详情包含基本的实例基本信息、当前性能指标信息以及各MQTT Broker节点信息。 基本信息 实例基本信息包括实例ID、实例名称、实例类型、专有网络、子网、安全组、创建时间、服务端连接地址、内网终端连接地址等，各字段释义如下： 实例ID：MQTT实例ID通常用于标识和管理不同的MQTT实例。每个MQTT实例都有一个唯一的实例ID，以确保在MQTT Broker上进行识别和区分。实例ID通常是一个字符串，由系统自动生成。 实例名称：MQTT实例名称通常用于标识和描述特定的MQTT实例。它是一个可读性高的字符串，用于方便用户在管理和监控中识别不同的MQTT实例。实例名称可以由用户自定义，也可以由MQTT服务根据用户指定的规则自动生成。通常情况下，实例名称是唯一的，以确保在一个MQTT服务中区分不同的实例。 实例类型：包含MQTT主机规格和节点数信息。 专有网络：即VPC，为分布式消息服务MQTT提供一个逻辑隔离的区域，构建一个安全可靠、可配置和管理的虚拟网络环境。 子网：构建在云基础设施上的网络分段，用于划分和管理云资源的网络连接。 安全组：网络安全控制机制，用于在云计算环境中管理虚拟机实例、容器实例或其他云资源的网络访问规则。 创建时间：购买并成功创建MQTT实例时间。 服务器连接地址：MQTT服务器的主机名或IP地址。 内网终端连接地址：在局域网或内部网络中使用的地址，用于设备之间在相同网络环境下进行通信。 内网终端SSL连接地址：内网终端之间建立SSL连接，使用MQTT over TLS/SSL（通常称为MQTTS）来保护通信。 公网IP：可以独立申请的公网 IP 地址，包括公网IP地址与公网出口带宽服务。

本文为您介绍删除告警联系人的操作场景、前提条件和操作步骤。 操作场景 当该告警联系人不需要再使用时。您可以在控制台进行删除操作。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已完成告警联系人的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控”，进入监控概览页面。 4. 单击“告警服务”下拉菜单，单击“告警联系人/组”，进入告警联系人管理页面。 5. 在“告警联系人/组”界面，单击联系人所在行“操作”列的“删除”，在弹出的“删除联系人”界面，单击“确定”，可以删除告警联系人。 6. 或在“告警联系人/组”界面，可勾选多个联系人，单击“删除”，在弹出的“删除联系人”界面，单击“确定”，可以删除多个联系人。

本章节介绍如何创建一个 Nacos引擎实例 概述 Nacos引擎包括配置中心和注册中心，提供动态配置、服务发现和服务健康监测等简单易用的特性，经过实践检验具备高性能和高可用性，帮助用户管理配置、注册和发现微服务，更加快捷方便地构建、交付和管理微服务平台。 为了方便您开通实例，从天翼云官网控制中心> 微服务工具与平台 > 微服务引擎MSE，点击进入产品页面，点击左侧菜单栏的注册配置中心>实例列表，进入注册配置中心控制台。本文将介绍如何创建一个Nacos引擎实例。 操作步骤 1. 进入微服务引擎控制台，并在左上方选中您需要开通产品的资源池。点击“注册配置中心”页签，进入“实例列表”页签； 2. 点击页面左上方的“创建实例”按钮，进入实例开通页面； 3. 选择开通配置，配置项详细说明如下： 计费模式：目前可选择“包年包月”或“按需付费”，具体计费模式和规则可点击右侧的“查看产品定价”查看； 系列：目前可选择“单机版”或“集群版”或“企业版”，推荐您开通集群版或企业版，以保障实例的高可用性； 引擎类型：若您需要开通Nacos引擎，则选中“Nacos”； 实例名称：输入该实例的名称，实例名称是帮助您区分不同实例的重要标识； 实例规格：可选择将实例搭载在指定CPU、内存规格的机器上； 节点数量：可选择开通实例的节点数，节点数越大，实例越高可用； 部署模式和可用区：可选择将多节点实例部署在不同可用区，进一步提高可用性； 虚拟私有云：选择将实例开通在指定的虚拟私有云（VPC）下； 所在子网：选择将实例开通在该虚拟私有云指定的子网下； 安全组：为该实例绑定指定的安全组规则； 购买时长和自动续期：若您选择“包年包月”，则需要选择您购买的周期，并选中到期时是否自动续期； 4. 配置确认后，点击右下方的“下一步”按钮，进入开通配置确认页面，确认无误后，点击“提交订单”，进入订单结算页面。完成支付后，等待5至10分钟，即可完成开通； 5. 开通完成后，您可以在微服务引擎控制台的“注册配置中心”页签下找到您开通的实例。

本文带您快速入门多活容灾服务。 使用条件 1. 已经注册并开通天翼云账号。 2. 当前账号已开通多活容灾服务，拥有使用多活容灾服务的权限。 3. 已经完成实名认证。 使用流程 多活容灾服务使用流程如图所示。 1. 开通多活容灾服务。 2. 若生产中心为三方数据中心时，需新增三方数据中心。 3. 创建命名空间。在控制台命名空间页面创建命名空间，用户可以创建多个命名空间，用于逻辑隔离不同的资源。 4. 同步/纳管资源。在多活容灾服务平台使用相关资源之前，用户需通过资源管理模块对资源进行同步或新增操作，以便MDR侧能够实现资源的统一管理。 5. 创建容灾管理中心。用户可以根据业务需要使用一个或若干个容灾管理中心，容灾管理中心与命名空间为一对十绑定关系。 6. 接入应用（可选）。应用接入可帮助用户对容灾管理中心的云主机资源进行流量配比与健康检查监控，云主机资源健康情况可在监控大盘中查看。同时，可以帮助用户进一步将容灾管理中心的资源（如云主机、存储、数据库）按应用维度进行细粒度划分，提升资源管理便捷性。 7. 预案编排。预案编排涵盖预案阶段和预案管理两方面。预案阶段模块中，帮助用户以任务为单位进行串行或并行编排成预案阶段。预案管理模块中，用户可根据多个预案阶段互相衔接组成整体预案流程，预案流程为后续灾备演练和应急切换提供整体流程方案。 8. 容灾演练。容灾演练旨在确保灾难发生后能够快速恢复业务而进行的一系列的演练任务，涉及的演练任务来源于相应的预案流程，演练时演练任务为实战演练。 9. 应急切换。应急切换用于灾难发生后为了快速恢复业务而进行的一系列切换或恢复任务，涉及的演练任务来源于相应的预案流程。故障切换场景下可根据预设的切换预案流程拉起依次数据库、存储、灾备云主机等相关服务；故障回切场景下可根据预设的回切预案流程执行数据库、存储、容灾云主机的回切操作，以确保业务正常运行。

您的备案信息填写完毕提交后，需经过天翼云初审和管局审核，各审核环节注意事项如下： 天翼云审核： 1.备案电话保持畅通：在您提交备案申请后，天翼云审核专员会在1工作日左右拨打您的电话号码，请您保持电话畅通并注意接听来电。 2.资料补充：天翼云初审时，审核人员会根据各省市管局要求或者依据您的备案申请具体情况，可能需要您完成一些其他的核验操作。 天翼云审核与管局审核之间： 天翼云将您的备案订单提交管局后，您会收到工信部发送的核验短信（发信号码为12381），您需在24小时内，点击短信中的链接进行短信核验。核验成功后备案申请才能进入管局审核，超期未核验，您的备案申请将被驳回。 管局审核： 1.备案电话保持畅通：部分地区管局可能会拨打备案信息中相关负责人的电话号码进行备案信息核实，请您保持电话畅通注意接听来电。 2.网站内容符合要求：部分地区管局需要查看已备案成功的网站内容是否合规、未备案网站是否关闭，请您在备案审核期间保证网站内容符合要求。

本文描述在文件系统创建之后如何配置监控告警。 云监控服务是天翼云针对云网资源的一项监控服务，弹性文件通过云监控服务提供监控和告警能力。通过查看文件系统的监控数据，您可以了解到文件系统的使用情况。通过设置告警规则可以监控文件系统实例异常情况，保障业务正常进行。 弹性文件服务开通后，自动接入云监控内，无需开通。参考以下文档： 监控指标 查看监控数据 创建告警规则 开启一键告警 示例一：配置容量使用率告警

本章节主要介绍翼MapReduce组件Spark使用时的常见问题。 Spark 任务内存不足情况需要根据具体问题进行具体分析。 首先spark统一内存模型将内存分为offheap和heap两部分内存，每一个部分都可能发生内存不足的情况。 offheap内存不足的情况 offheap内存作用 为了进一步优化内存的使用以及提高 Shuffle 时排序的效率，Spark 引入了堆外（Offheap）内存，使之可以直接在工作节点的系统内存中开辟空间，存储经过序列化的二进制数据。 利用JDK Unsafe API（从 Spark 2.0 开始，在管理堆外的存储内存时不再基于 Tachyon，而是与堆外的执行内存一样，基于 JDK Unsafe API 实现），Spark 可以直接操作系统堆外内存，减少了不必要的内存开销，以及频繁的 GC 扫描和回收，提升了处理性能。堆外内存可以被精确地申请和释放，而且序列化的数据占用的空间可以被精确计算，所以相比堆内内存来说降低了管理的难度，也降低了误差。 offheap参数和动态扩展机制 Spark堆外内存的大小可以由spark.memory.offHeap.size控制，spark offheap空间只分为 execution 和 storage 1:1两部分，两部分可以动态扩展。 offheap不足 目前常用的offheap常见是 executor端，map task侧 shuffle时候，由于ShuffleExternalSorter占用内存过大，导致内存不足。 此外，在spark native场景中，spark将更多的使用 spark offheap内存取代heap内存，因此spark offheap在非shuffle场景下也会占用很多offheap内存。 如果存在offheap 内存不足警告，可以酌情添加spark.memory.offHeap.size 或者 降低shuffle 内存缓冲区大小。 heap内存不足的情况 spark将heap内存做如下分割 每一个部分超出使用上线都可能产生内存不足的情况。

本章节主要介绍翼MapReduce的修改服务自定义配置参数操作。 操作场景 MRS集群各个组件支持开源的所有参数，其中部分关键使用场景的参数支持在FusionInsight Manager界面进行修改，且部分组件的客户端可能不包含开源特性的所有参数。如果需要修改其他Manager未直接支持的组件参数，管理员可以在Manager通过自定义配置项功能为组件添加新参数。添加的新参数最终将保存在组件的配置文件中并在重启后生效。 对系统的影响 配置服务属性后，如果服务状态为“配置过期”，则需要重启此服务，重启期间该服务不可用。 修改服务配置参数并重启生效后，需要重新下载并安装客户端，或者下载配置文件刷新客户端。 前提条件 管理员已充分了解需要新添加的参数意义、生效的配置文件以及对组件的影响。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“集群 > 待操作集群的名称 > 服务”。 3. 单击服务视图中指定的服务名称。 4. 选择“配置 > 全部配置”。 5. 在左侧导航栏定位到某个一级节点，并选择“自定义”，Manager将显示当前组件的自定义参数。 “参数文件”显示保存管理员新添加的自定义参数的配置文件。每个配置文件中可能支持相同名称的开源参数，设置不同参数值后生效结果由组件加载配置文件的顺序决定。自定义参数支持服务级别与角色级别，请根据业务实际需要选择。不支持单个角色实例添加自定义参数。 6. 在对应参数项所在行“名称”列输入组件支持的参数名，在“值”列输入此参数的参数值。 支持单击“＋”或“－”增加或删除一条自定义参数。 7. 单击“保存”，在弹出的“保存配置”窗口中确认修改参数，单击“确定”。界面提示“操作成功。”，单击“完成”，配置保存成功。 保存完成后请重新启动配置过期的服务或实例以使配置生效。

本章节主要介绍翼MapReduce的管理客户端操作。 操作场景 FusionInsight Manager支持统一管理集群的客户端安装信息，用户下载并安装客户端后，界面可自动记录已安装（注册）客户端的信息，方便查询管理。同时系统支持手动添加、修改未自动注册的客户端信息（如历史版本已安装的客户端）。 操作步骤 查看客户端信息 1. 登录FusionInsight Manager。 2. 选择“集群 >待操作集群的名称 > 客户端管理”，即可查看当前集群已安装的客户端信息。 用户可查看客户端所在节点的IP地址、安装路径、组件列表、注册时间及安装用户等信息。 在当前最新版本集群下载并安装客户端时，客户端信息会自动注册。 添加客户端信息 3. 如需手动添加已安装好的客户端信息，单击“添加”，根据界面提示手动添加客户端的IP地址、安装路径、用户、平台信息、注册信息等内容。 4. 配置好客户端信息，单击“确定”，添加成功。 修改客户端信息 5. 手动注册的客户端信息可以手动修改。 在“客户端管理”界面选择待修改的客户端，单击“修改”。修改信息后，单击“确定”完成修改。 删除客户端信息 6. 在“客户端管理”界面选择待删除的客户端，单击“删除”，在弹出的窗口中单击“确定”，即可删除客户端信息。 如需删除多个客户端信息，勾选待删除的客户端，单击“批量删除”，在弹出的窗口中单击“确定”，即可删除客户端信息。 导出客户端信息 7. 在“客户端管理”界面选择待操作的客户端，单击“导出全部”可导出所有已注册的客户端信息到本地。 说明 客户端管理界面上组件列表栏只展示有真实客户端的组件，因此部分没有客户端的组件和客户端特殊的组件不会显示在组件列表栏。 不显示的组件有： LdapServer、KrbServer、DBService、Hue、Mapreduce、Flume。 不显示的组件有： LdapServer、KrbServer、DBService、Hue、Mapreduce、Flume。

本章节主要介绍翼MapReduce的多租户管理页面概述操作。 统一的多租户管理 登录FusionInsight Manager，选择“租户资源 > 租户资源管理”，可以查看到FusionInsight Manager作为统一的多租户管理平台，集成了租户生命周期管理、租户资源配置、租户服务关联和租户资源使用统计等功能，为企业提供了成熟的多租户管理模型，实现集中式的租户和业务管理。 图形化的操作界面 FusionInsight Manager实现全图形化的多租户管理界面：通过树形结构实现多级租户的管理和操作，将当前租户的基本信息和资源配额集成在一个界面中，方便运维和管理，如下图所示多租户管理。 层级式的租户管理 FusionInsight Manager支持层级式的租户管理，可以为租户进一步添加子租户，实现资源的再次配置。一级租户下一级的子租户属于二级租户，以此类推。为企业提供了成熟的多租户管理模型，实现集中式的租户和业务管理。 简化的权限管理 FusionInsight Manager对普通用户封闭了租户内部的权限管理细节，对管理员简化了权限管理的操作方法，提升了租户权限管理的易用性和用户体验。 使用RBAC方式，在多租户管理时，可根据业务场景为各用户分别配置不同权限。 租户的管理员，具有租户的管理权限，包括：查看当前租户的资源和服务、在当前租户中添加/删除子租户并管理子租户资源的权限。支持定义单个租户的管理员，可以将租户的管理权限委托给系统管理员之外的其他用户。 租户对应的角色，具有租户的计算资源和存储资源的全部权限。创建租户时，系统自动创建租户对应的角色，可以添加用户并绑定该角色为其他用户授权，以使用该租户的资源。

本章节主要介绍翼MapReduce的修改OMS服务配置参数操作。 操作场景 根据用户环境的安全要求，管理员可以在FusionInsight Manager修改OMS中Kerberos与LDAP配置。 对系统的影响 修改OMS的服务配置参数后，需要重启对应的OMS模块，此时FusionInsight Manager将无法正常使用。 操作步骤 修改okerberos配置 1. 登录FusionInsight Manager，选择“系统 > OMS”。 2. 在okerberos所在行，单击“修改配置”。 3. 根据下表所示的说明修改参数。 okerberos参数配置一览表 参数名 说明 连接KDC最大时延（毫秒） 应用连接到Kerberos的超时时间，单位为毫秒，请填写整数值。 最大尝试次数 应用连接到Kerberos的最大重试次数，请填写整数值。 操作Ldap最大时延（毫秒） Kerberos连接LDAP的超时时间，单位为毫秒。 搜索Ldap最大时延（毫秒） Kerberos在LDAP查询用户信息的超时时间，单位为毫秒。 Kadmin监听端口 kadmin服务的端口。 KDC监听端口 kinit服务的端口。 Kpasswd监听端口 kpasswd服务的端口。 4. 单击“确定”。 在弹出窗口输入当前登录用户密码验证身份，单击“确定”，在确认重启的对话框中单击“确定”。 修改oldap配置 5. 在oldap所在行，单击“修改配置”。 6. 根据下表所示的说明修改参数。 oldap参数配置一览表 参数名 说明 Ldap服务监听端口 LDAP服务端口号。 7. 单击“确定”。 在弹出窗口输入当前登录用户密码验证身份，单击“确定”，在确认重启的对话框中单击“确定”。 说明 如果重置LDAP帐户口令需要重启ACS，操作步骤如下： 使用PuTTY，以omm用户登录主管理节点，执行以下命令更新域配置： sh ${BIGDATAHOME}/omserver/om/sbin/restartRealmConfig.sh复制 提示以下信息表示命令执行成功： Modify realm successfully. Use the new password to log into FusionInsight again.复制 执行 sh $CONTROLLERHOME/sbin/acscmd.sh stop ，停止ACS。 执行 sh $CONTROLLERHOME/sbin/acscmd.sh start ，启动ACS。

本章主要介绍翼MapReduce的解锁系统内部用功能。 操作场景 若服务出现异常状态，有可能是系统内部用户被锁定，请及时解锁，否则会影响集群正常运行。系统内部用户列表请参见用户帐号一览表。系统内部用户无法使用FusionInsight Manager解锁。 前提条件 根据用户帐号一览表获取LDAP管理员“cnroot,dchadoop,dccom”的默认密码。 操作步骤 1.使用以下方法确认系统内部用户是否被锁定： a.查询oldap端口： 登录FusionInsight Manager，选择“系统 > OMS > oldap > 修改配置”。 “Ldap服务监听端口”参数值即为oldap端口。 b.查询域名方法： 登录FusionInsight Manager，选择“系统 > 权限 > 域和互信”。 “本端域”参数即为域名。 例如当前系统域名为“9427068F6EFA4833B43E60CB641E5B6C.COM”。 c.在集群内节点上以omm用户执行以下命令查询密码认证失败次数： ldapsearch H ldaps://OMS浮动IP地址:OLdap端口 LLL x D cnroot,dchadoop,dccom b krbPrincipalName系统内部用户名@当前域名,cn当前域名,cnkrbcontainer,dchadoop,dccom w LDAP管理员密码 e ppolicy grep krbLoginFailedCount 例如，查看oms/manager用户认证失败次数： ldapsearch H ldaps://10.5.146.118:21750 LLL x D cnroot,dchadoop,dccom b krbPrincipalNameoms/manager@9427068F6EFA4833B43E60CB641E5B6C.COM,cn9427068F6EFA4833B43E60CB641E5B6C.COM,cnkrbcontainer,dchadoop,dccom w cnroot,dchadoop,dccom 用户密码 e ppolicy grep krbLoginFailedCount krbLoginFailedCount: 5 d.登录FusionInsight Manager，选择“系统 > 权限 > 安全策略 > 密码策略”。 e.查看“密码连续错误次数”参数值，若小于等于“krbLoginFailedCount”参数值，则用户已被锁定。 说明 查看运行日志，也可以确认系统内部用户是否被锁定。 2.以omm用户登录主管理节点，执行以下命令解锁。 sh ${BIGDATAHOME}/omserver/om/share/om/acs/config/unlockuser.sh userName 系统内部用户名 例如， sh ${BIGDATAHOME}/omserver/om/share/om/acs/config/unlockuser.sh userName oms/manager

本章节主要介绍翼MapReduce的入服与退服实例操作。 操作场景 部分角色实例以分布式并行工作的方式对外部业务提供服务，服务会单独保存每个实例是否可以使用的信息，所以需要使用FusionInsight Manager为这些实例执行入服或退服的操作，变更实例的业务可用状态方式。 不支持该此功能的实例，默认无法执行任务。 说明 当前支持退服和入服操作的角色有：HDFS的DataNode、Yarn的NodeManager、HBase的RegionServer。 当DataNode数量少于或等于HDFS的副本数时，不能执行退服操作。若HDFS副本数为3时，则系统中少于4个DataNode，将无法执行退服，Manager在执行退服操作时会等待30分钟后报错并退出执行。 由于Mapreduce任务执行时，会生成一些副本数为10的文件，此时若DataNode实例数少于10时，将无法进行退服操作。 如果退服前，DataNode节点的机架数（机架数由各DataNode节点所配置的“机架”的名称数量决定）大于1；而退服部分DataNode后，剩余的DataNode节点的机架数变为1，则此次退服将会失败。所以需要在退服前评估退服操作对机架数的影响，以调整退服的DataNode节点。 在退服多个DataNode时，如果每个DataNode存储的数据量较大，如果执行选择多个DataNode同时退服，则很有可能会因超时而退服失败。为了避免这种情况，建议每次退服仅退服1个DataNode，进行多次退服操作。 操作步骤 1. DataNode节点退服前需要进行健康检查，步骤如下： 使用客户端用户登录客户端安装节点，并切换到客户端安装目录。 如果是安全集群，需要使用hdfs用户进行权限认证。 source bigdataenv

如果您暂时不需要使用按需或包周期的关系数据库MySQL版实例，可以暂停该实例。实例暂停后计算资源将被冻结，不再产生资源费用，可以有效为您节省成本。本文为您介绍如何暂停实例、恢复实例，及按需计费实例欠费暂停的处理方法。 注意 从2024年4月14日起部分资源池下线该功能，详情请参见【下线】2024年4月14日起关系数据库MySQL版下线部分资源池暂停实例功能。目前，仅II类型资源池的西南1资源池支持该功能，I类型资源池不支持该功能，具体支持情况以控制台页面展示为准。更多资源池信息，请参见功能概览。 前提条件 实例为主实例，并且实例下面没有只读实例。如果有只读实例，请先退订只读实例，具体操作，请参考退订。 实例没有开启数据库代理。如果有数据库代理，请先关闭代理服务，具体操作，请参考关闭MySQL数据库代理服务。 实例状态为运行中 。 影响 实例暂停期间所有功能均会失效，包括：连接实例、备份、恢复、变更配置等。 实例暂停时，会进行一次全量备份，暂停期间所有备份数据超过保留天数后仍会过期。 实例暂停后，原有内外网连接地址将会保留，当再次启动实例时，仍可使用。 已暂停实例的有效全备可用于恢复到新实例。 已暂停的实例（不论是否到期）如果超过7天仍未重启，将会自动进入回收站，在回收站如果超过7天未处理，将会被注销。

本文为您介绍租户集群为自建集群的集群组件安装步骤。 注意事项 集群组件在运行时会挂载k8s node宿主机的/data（非crio）和/root（crio）目录，请确保目录的权限正常。 请确保您的k8s集群允许出网策略TCP端口：31080、30432、32345。 获取部署脚本 1. 进入容器安全卫士产品控制台。 2. 在左侧导航栏选择“安装配置 > 组件安装”，进入组件安装页面。 3. 单击“集群组件部署”，进入集群组件部署页面。 4. 选择“是否为天翼原生k8s集群”，此处选择“自建集群”；选择集群所在的资源池。 5. 下载镜像。 1. 选择容器运行环境（支持docker、containerd、CRIO）。 2. 选择集群CPU架构（支持X86、ARM架构）。 3. 单击“下载镜像Tar包”下载镜像Tar包到本地，然后加载至您的私有仓库中（请不要修改镜像名称）。 Tar包中包含4个镜像，分别为： library/dosecagent:20241224T19.31.05V5.2.0release298e83b85cc6c5bc,library dosechosttool:alpineV3.8,library dosecscanner:20250106T17.38.12V5.2.0releasebd003dd3e87a1881,library dosecserver:20250107T11.36.00V5.2.1sp891.1release287a57d168109d92 6. 生成部署脚本。 1. 选择集群所在的VPC、VPC子网，输入私有仓库的地址、账号、密码。 2. 单击“生成yaml文件”，并将yaml文件保存到本地。 注意 系统会根据您的输入自动生成yaml。 容器安全卫士不会保存您的私有仓库用户名和密码以保证安全。 下载后的包，内容请勿进行修改。 下载的脚本仅能用于一个k8s集群使用，若在不同集群重复使用可能造成数据异常。

本章节主要介绍如何添加路由。 操作场景 路由即路由规则，在路由中通过配置目的地址、下一跳类型、下一跳地址等信息，来决定网络流量的走向。路由分为系统路由和自定义路由。 增强型跨源连接创建后，子网会自动关联系统默认路由。除了系统默认路由，您可以根据需要添加自定义路由规则，将指向目的地址的流量转发到指定的下一跳地址。 创建增强型跨源时的路由表是数据源子网关联的路由表。 添加路由信息页的路由是弹性资源池子网关联的路由表中的路由。 数据源子网与弹性资源池所在子网为不同的子网，否则会造成网段冲突。 操作步骤 1. 登录DLI管理控制台。 2. 在左侧导航栏中，选择“跨源管理 > 增强型跨源 ”。 3. 选择待添加路由的增强型跨源连接，并添加路由。 方法一： a. 选择待添加的增强型跨源连接，单击操作列的“路由信息”。 b. 单击“添加路由”。 c. 在添加路由的对话框中，填写路由信息。参数说明请参考下表。 d. 单击“确定”。 方法二： a. 选择待添加的增强型跨源连接，单击操作列的“更多 > 添加路由”。 b. 在添加路由的对话框中，填写路由信息。参数说明请参考下表。 c. 单击“确定”。 自定义路由详情列表参数 参数 参数说明 路由名称 自定义路由的名称，在同一个增强型跨源中唯一。名称规则为：长度1~64字节，数字、字母、下划线（""）、中划线（""）组成。 路由IP 自定义路由网段，允许不同路由的网段之间有交集，但不允许完全相同。 4. 添加路由信息后，您可以在路由详情页查看添加的路由信息。

安全策略可视化管理 在业务拓扑中利用红绿线标识符合策略的流量及不符合策略的流量，并支持查看流量阻断日志。 由于工作负载带有业务角色属性，所以非常有利于基于学习到的连接关系生成一张综合的可视化视图，可以直观呈现环境间、业务间、工作组间、工作负载间的互访关系。基于此能力，实现如下价值： 有利于梳理资产、摸清家底，知道有哪些工作负载，知道工作负载开放了什么端口（暴露面），护网时可利用此功能生成资产台账和端口台账； 便于以学习到的情况为基础，清晰的梳理内部的互访关系； 业务连接可视化分析解决了管理者对数据中心东西向流量不可视、无感知的难题，同时也是进一步确定流量基线，部署访问控制策略的依据。 自适应策略调整 在业务迁移、弹性拓展等场景下，可自动调整安全策略，并支持API自动化编排。 全局策略自适应计算，是指微隔离系统根据工作负载的变化而自动调整符合其业务角色的安全策略。这样的场景在云化数据中心中时常发生，如业务从物理机迁移至虚拟机、新的数据中心建设、新的业务上线、动态扩缩容等。 这里我们示例了一种最简单的策略自适应计算场景： 用户基于标签，使用接近自然语言的描述配置一条策略； 自适应策略计算引擎将标签翻译为对应的IP地址； 当某一个工作负载发生IP变化时，BEA迅速上报该信息，自适应策略引擎则基于这个变化快速进行策略计算，并将新的策略下发至相关工作负载上。

服务器安全卫士如何拦截暴力破解？ 服务器安全卫士暴力破解基本原理如下： 1、获取登录数据 Linux：通过查看系统日志，获取登录成功、失败、登出等行为。 登录日志（/var/log/secure） Windows：查看安全日志中的登录事件，4624（成功）、4625（失败），没有登出 2、判断是暴力破解的条件 说明 时间周期 N 相同IP下同一用户名登录N次 1分钟 30 相同IP下不同的用户名登录N次 5分钟 10 较长时间内重试达到指定N次 10分钟 50 3、封停原理 暴力破解自动封停存在开关，默认关闭，且仅对外网IP进行自动封停功能。 4、暴力破解封停功能的实现 Linux通过TCPWrappers实现封停功能，主要通过/etc/hosts.allow和/etc/hosts.deny完成的。 Windows通过Windows Filtering Platform（和windows防火墙一套的底层API），这套API用于支持对网络相关的处理能力。 5、封停状态变化 6、封停失败排查 封禁需要满足三个条件： openssh版本是否在7.8版本以下，7.8及以上不支持，6.6版本开始不再支持tcpwrappers，因此若直接回退版本需退到6.6版本。 ldd $(which sshd) grep wrap 命令是否有输出，没有则不支持wrap。 是否存在/etc/hosts.deny文件。 步骤： 1.执行 ps ef grep /usr/sbin/sshd ，找到sshd的主进程pid。 2.执行 cat /proc/962/maps grep libwrap ，若没有回显表示不支持。 临时解决方法是把openssh降到允许使用tcpwapper的版本。

本文向您介绍VPN连接服务的监控概览。 监控是保持VPN可靠性、可用性和性能的重要部分，通过监控，用户可以观察VPN资源。为使用户更好地掌握自己的VPN运行状态，天翼云提供了云监控服务（CES）。您可以使用该服务监控您的VPN，执行自动实时监控、告警和通知操作，帮助您更好地了解VPN的各项性能指标。

本节将为您介绍如何修改访问控制规则。 操作场景 用户对已创建的访问控制规则进行编辑。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成访问控制的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本节我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 选择“访问控制”，单击目标访问控制名称，进入详情页面。 5. 单击目标访问控制规则“操作”列的“编辑”选项，进入编辑规则状态。 6. 在编辑规则页面，根据页面提示进行参数设置。 7. 单击“确认”，保存修改。 说明 用户也可以进入“目标访问控制详情”页面。单击“访问控制规则”。单击“添加规则”，可添加新的自定义规则；单击目标规则“操作”列的“删除”，或者选择想要删除的规则，单击“删除”，可删除已有规则。

为节约备案时间，建议您提前准备好符合备案条件的天翼云账号、服务器、域名，和相关备案资料 准备天翼云账号： 申请备案前建议您提前注册天翼云账号，天翼云账号支持在PC端或天翼云App上申请备案。一个账号只能备案一个主体（公司或个人）信息，但是一个主体下可以备案多个网站/APP。 准备服务器： 备案前需要至少有一台符合以下要求的天翼云服务器： 1.服务器为天翼云中国（港澳台地区除外）节点的服务器； 2.服务器购买时长需大于3个月； 3.服务器需绑定公网IP。 准备域名： 备案的域名及域名注册商需满足以下要求： 1.备案的域名要求在有效期内； 2.备案的域名在实名认证完成后需要约三天时间将实名认证信息上报权威库。建议您在实名认证完成后等待三天，待实名信息入库后再申请ICP备案，否则可能存在管局审核时核验不到域名实名信息而退单的风险； 3.申请备案时填报的备案主体信息应与域名所有者实名认证信息一致； 4.备案的域名要求为国家批复的域名。可登录 5.境外注册商所注册的域名不能直接备案，可转入境内有资质的域名商后再申请ICP备案。

1. 验证备案类型 登录天翼云备案系统并填写信息，系统将根据您所填写的主体和域名信息，自动识别对应的备案类型并生成备案订单。 2. 填写备案信息 根据系统提示填写相关的主体信息和网站/APP信息，上传证件照片等备案材料，并完成真实性核验。确认信息无误后，提交至天翼云进行初审。 3. 天翼云初审 天翼云将1个工作日内进行初审，审核期间我们会拨打您备案信息中的联系电话进行沟通，请保持电话畅通。 4. 短信核验 天翼云将您的备案订单提交管局后，工信部系统会自动下发短信验证码（发信号码为12381），您需在24小时内，点击短信中的链接进行短信核验。 5. 管局审核 管局将在20个工作日内对您的备案资料进行审核。 6. 审核结果 备案完成审核通过以后，会发送邮件至您主体负责人邮箱；天翼云也会通知网站负责人，告知管局审核结果；您也可以登录备案系统查看已备案具体信息。

本节介绍网页防篡改服务协议。 自2021年11月11日起，新版天翼云网页防篡改服务协议生效。详情请参见天翼云网页防篡改服务协议。 历史版本请参见天翼云网页防篡改服务协议 历史版本（20195）。

本章节主要介绍准备工作 在开始之前，您需要完成如下的准备工作。 步骤 1 创建虚拟私有云和子网。 虚拟私有云（Virtual Private Cloud，简称VPC）提供一个隔离的、用户自主配置和管理的虚拟网络环境，可以提升资源的安全性，简化用户的网络部署。 1. 登录虚拟私有云VPC控制台。 2. 单击右上角“创建虚拟私有云”。 3. 根据界面提示完成参数填写，单击“立即创建”。 步骤 2 创建密钥对。 新建一个密钥对，用于远程登录节点时的身份认证。 1. 登录弹性云服务器ECS控制台。 2. 选择左侧导航中的“密钥对”，单击右上角“创建密钥对”。 3. 输入密钥对名称后，单击“确定”。 4. 您的浏览器会提示您下载或自动下载私钥文件。文件名是您为密钥对指定的名称，文件扩展名为“.pem”。请将私钥文件保存在安全位置。然后在系统弹出的提示框中单击“确定”。 说明 为保证安全，私钥只能下载一次，请妥善保管，否则将无法登录节点。 步骤 3 创建负载均衡。 弹性负载均衡将作为服务网格对外访问入口，被服务网格管理的应用流量，均从此实例进入并分发到后端服务。 1. 登录弹性负载均衡ELB控制台。 2. 单击右上角的“创建弹性负载均衡”。 3. 所属VPC、子网请选择步骤1中创建的虚拟私有云和子网，其他参数根据界面提示填写，单击“立即创建”。 步骤 4 创建集群。 1. 登录云容器引擎CCE控制台。 2. 选择左侧导航中的“资源管理 > 集群管理”，单击右上角“创建CCE集群”。 3. 在“服务选型”页面设置如下参数，其余参数均采用默认值。 集群名称：用户自行输入，此处设置为“cceasm”。 虚拟私有云、所在子网：选择步骤1中创建的虚拟私有云和子网。 4. 单击“下一步：创建节点”，配置添加节点的参数。除节点规格和登录方式外，其余参数保持默认。 节点规格：vCPUs为4核，内存为8GB。 说明 此规格为部署Bookinfo应用所需的最小资源。 如果在创建网格中创建的网格版本为1.3.0，则此处的节点规格需要选择8核16GB。为了保证sidecar的稳定性，1.3.0版本网格默认每个sidecar的CPU限制为1核，内存限制为512M，因此需要更多资源。 登录方式：选择步骤2中创建的密钥对，用于远程登录节点时的身份认证。 5. 单击“下一步：安装插件”，在“安装插件”步骤中选择要安装的插件。 “系统资源插件”为必装插件，“高级功能插件”可根据实际需求进行选择性安装。 6. 单击“下一步：配置确认”，阅读使用说明并勾选“我已知晓上述限制”，确认所设置的服务选型参数、规格等信息。 7. 确认订单无误后，单击“提交”，集群开始创建。 集群创建预计需要610分钟，您可以单击“返回集群管理”进行其他操作或单击“查看集群事件列表”后查看集群详情。

本文介绍在使用科研助手服务前的准备工作。 1. 创建天翼云账号 如果您还没有天翼云账号，请登录天翼云官网，点击右上角“免费注册”创建天翼云账号，并完成账号实名制认证。 2. 开通科研助手服务 在科研助手产品主页，点击立即开通按钮，进入业务开通页开通批量计算服务（预付费账户余额大等于100元进行开通)。