注意事项 1.您接入天翼云AOne SDK前的合规自查 为确保您就本SDK的使用获得终端用户的授权，且遵守个人信息保护要求和合规流程，我们建议您在接入天翼云AOne SDK前进行合规自查。 1）请仔细阅读并按本说明文档提示对您APP的《隐私政策》进行合规自查。 2）请务必做延迟初始化配置，确保获得用户同意后再初始化SDK。 3）当天翼云AOne SDK基于最新的法律法规或监管要求进行更新后，请您在收到版本更新通知时及时将您APP集成的天翼云AOne SDK升级到最新版本。 4）其他国家相关法律法规、监管政策及标准的要求。 2.天翼云AOne SDK对您的合规审查 您应遵守个人信息保护相关的法律法规、监管政策及标准，并确保合规使用天翼云AOne SDK服务。请您知悉，为确保您切实获得终端用户的授权，且您已满足个人信息保护相关合规要求，天翼云AOne SDK可能视具体情况，在双方订立协议、开展合作前或合作过程中，对您进行必要的个人信息保护合规审查。在该等合规审查过程中，您应当提供必要的配合，包括但不限于： 1）要求您提供所共享的个人信息的合法来源证明及相关文件； 2）查阅您官网及其他公开渠道可获取的隐私政策文本； 3）试用您的 APP 以审查同意授权告知机制及其他合规机制。 如天翼云AOne SDK发现存在不合规情形，您可能会被要求增加或补充相关合规措施，如您未按时增加或补充，天翼云AOne SDK有权拒绝您使用服务。请您知悉，该等合规审查仅属于我们内部必要的合规程序，不构成任何形式的承诺与保证，不具有法律效力。 3.天翼云AOne SDK只提供账号服务、零信任内网连接服务、应用资源访问服务，不涉及任何扩展业务，如您在使用天翼云AOne SDK过程中发现扩展业务，请检查所使用的天翼云AOne SDK是否为官网提供的最新版本。

为保障您的账户安全、避免额外损失,请务必仔细阅读安全风险提示的全部内容 为保障您的账户安全、避免额外损失，请务必仔细阅读安全风险提示的全部内容 OpenClaw 是运行于系统级环境的通用 AI Agent，支持文件读写、代码执行、多步任务编排，可通过聊天工具接收指令执行对应操作。因其具备较高系统操作权限，强烈建议您仅在隔离、可控的云端环境中部署运行。 天翼云提供的OpenClaw 软件环境来源于第三方或开源社区，仅供您参考与合规使用。您需自行评估使用相关的全部风险，因部署、配置、使用该镜像及相关软件产生的任何直接或间接损失、安全与合规责任，天翼云不承担相关责任。请您确保所有使用行为符合国家法律法规、监管要求及对应开源许可协议。 请您结合自身业务需求与安全要求，合理配置系统与权限策略，保障运行环境安全可控。为降低潜在安全风险，请您重点关注以下使用注意事项： 1. 及时更新版本 定期升级OpenClaw 及相关组件，避免因已知漏洞带来安全风险。 2. 加强数据备份 建议建立定期备份机制，防止因系统故障或误操作导致数据丢失。 3. 控制网络暴露面 非必要情况下，不建议将OpenClaw 服务端口直接暴露至互联网，可通过安全组、内网访问或代理方式进行访问控制。 4. 遵循最小权限原则 仅启用必要的工具和功能，避免授予OpenClaw 过高的系统权限或无限制的自主执行能力。 5. 使用可信来源的Skills插件 建议优先使用官方或经过安全验证的Skills，避免使用来源不明的插件，以降低安全风险。 6. 部署主机安全防护措施 建议安装主机安全防护软件。天翼云为云主机提供免费的主机安全卫士，建议在创建实例时启用相关安全服务。 7. 妥善保护访问凭证 对API Key、Token 等敏感凭证进行安全存储与加密管理，避免泄露。 8. 开启日志与审计机制 建议启用操作日志与行为审计功能，以确保关键操作可记录、可追溯。

本文主要介绍删除实例。 操作场景 分布式消息服务Kafka管理控制台支持删除Kafka实例，且可实现批量删除Kafka实例、一键式删除创建失败的Kafka实例、单个删除创建失败的实例记录。 说明 Kafka实例删除后，实例中原有的数据将被删除，且没有备份，请谨慎操作。 前提条件 Kafka实例状态为运行中、故障、已冻结的按需付费实例才能执行删除操作。 包年/包月类型的Kafka实例，不支持进行删除和批量删除操作。若不再使用，可单击“操作”栏下的“更多 > 退订”进行退订。 删除Kafka实例 步骤 1 登录管理控制台。 步骤 2 在管理控制台右上角单击，选择区域。 说明 请选择Kafka实例所在的区域。 步骤 3 在管理控制台左上角单击，选择“企业中间件”“分布式消息服务”“Kafka专享版”，进入分布式消息服务Kafka专享版页面。 步骤 4 通过以下任意一种方法，删除Kafka实例。 勾选Kafka实例名称左侧的方框，可选一个或多个，单击信息栏左上侧的“更多 > 删除”。 在待删除Kafka实例所在行，单击“更多 > 删除”。 单击Kafka实例名称，进入实例详情页面。单击右上角的“更多 > 删除”。 说明 Kafka实例状态为创建中、启动中、变更中、变更失败、重启中时不允许执行删除操作。 步骤 5 在“删除实例”对话框中，单击“是”，完成删除Kafka实例。 删除Kafka实例大约需要1到60秒。

纳管资源 环境创建成功后，需要把相同VPC下的计算资源类型（如云容器引擎CCE）、网络资源类型（如弹性负载均衡ELB、弹性公网EIP等）和中间件资源类型（如分布式缓存DCS、微服务引擎CSE等）纳管到环境下，组合为一个环境。 操作步骤 1、登录ServcieStage控制台，进入“环境管理”，单击待操作环境名称。 2、在“资源配置”下左侧列表，选择“计算”、“网络”或“中间件”资源类型下的资源名称，单击“纳管资源”。 3、在弹出的对话框中，勾选需要纳管的资源，单击“确定”。 说明 “Kubernetes”类型的环境，如果选择的VPC开启了IPv6且纳管了CCE集群资源时，需选择开启了IPv6开关的CCE集群资源。 否则，会导致在该VPC下的开启了安全认证的微服务引擎专享版上注册的Java Chassis微服务在使用IPv6服务注册发现地址时，注册失败。 处理方法，请参考如何处理开启了安全认证的微服务引擎专享版开启IPv6后服务注册失败？。 移除已纳管资源 已纳管到环境下的资源，如果不再使用，可以将其移除。 操作步骤 1、登录ServcieStage控制台，进入“环境管理”，单击待操作环境名称。 2、在“资源配置”下左侧列表，选择“计算”、“网络”或“中间件”资源类型下的资源名称。 3、在右侧已纳管的资源列表中： 批量移除资源：勾选待移除的资源，单击“移除资源”。 移除单个资源：选择待移除的资源，在“操作”列单击“移除”。

前提条件 已购买标准版及以上版本堡垒机，并已完成堡垒机配置。 安全区域边界：安全审计 等保条例：应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计； 本条款主要考察：是否有进行安全审计。云堡垒机支持对云服务器运维操作进行监控和审计。 使用有审计模块权限的账号登录云堡垒机，单击“审计 > 历史会话审计”，进入“历史会话”页面。 在历史会话页面可分别查看资源会话信息、系统会话信息、运维操作记录、文件传输记录、会话协同记录等。 等保条例：审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息； 本条款主要考察：日志是否按照要求进行记录。 使用管理员账号登录云堡垒机，单击“审计 > 历史会话审计”，进入“历史会话”页面。 主要包含资源名称、类型、主机IP、资源账户、起止时间、会话时长、会话大小、操作用户、操作用户来源IP、操作用户来源MAC、登录方式、运维记录、文件传输记录、会话协同记录等信息。 等保条例：应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等； 使用管理员账号登录云堡垒机，单击“系统 > 数据维护”，单击“日志备份”，进入“日志备份”页面。 在“日志备份”页面，可以创建、查看日志备份，支持系统登录日志、资源登录日志、命令操作日志、文件操作日志、双人授权日志。也支持备份至Syslog服务器、FTP/SFTP服务器和OBS桶。 等保条例：应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析； 本条款主要考察：是否能够对远程访问的用户行为进行审计与数据分析。

本文为您介绍删除自定义告警模板的操作场景、前提条件和操作步骤。 操作场景 当您业务发生变更或告警模板不再需要时，您可以在控制台删除自定义的告警模板。 默认告警模板无法删除。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已完成自定义告警模板的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控”，进入监控概览页面。 4. 单击“告警服务”下拉菜单，单击“告警模板”，进入告警模板详情页面。 5. 单击“自定义告警模板”页签，单击目标告警模板所在行的“删除”选项。 6. 单击“确认”按钮，完成删除操作。

本文为您介绍删除监控面板的操作场景、前提条件和操作步骤。 操作场景 当您业务发生变更或需要对监控面板上的监控视图进行重新规划时，您可以删除该监控面板，重新进行监控规划。删除监控面板时，会关联删除该面板上设置的所有监控视图。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已完成监控面板的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控”，进入监控概览页面。 4. 单击“监控面板”，选择需要删除的监控面板，单击“删除”按钮。 5. 单击“确认”按钮，删除当前监控面板。

操作场景 天翼云后端主机组不仅可以添加同一VPC内的云主机作为后端主机，还支持通过跨VPC后端功能将其他VPC的IP地址添加为后端主机。 使用须知 添加跨VPC后端IP功能目前仅在集群模式资源池上线。主备、集群模式资源池列表见产品简介​>产品类型和规格​>按资源池区分, 实际情况以控制台展现为准。 跨VPC后端IP添加仅支持同账号对等连接的对端VPC后端主机以IP形式添加，不支持添加跨账号的VPC内资源。该功能需要加白名单开通。 您最多可添加100个跨VPC后端IP，如需要申请更多，则需申请增加配额。 操作步骤 1. 登录天翼云控制中心。 2. 选择网络>弹性负载均衡>负载均衡器”。 3. 单击已创建的负载均衡器实例名称。 4. 在该负载均衡详情界面，选择“后端主机组”标签。选定特定的后端主机组，选择跨VPC后端IP类型，点击“添加”按钮。 5. 在弹出添加跨VPC后端IP窗口，依据跨VPC后端IP参数配置完成添加跨VPC后端IP参数配置。 6. 点击“增加一条跨VPC后端IP”新增一行，可连续添加多行。点击“确定”按钮，完成添加跨VPC后端IP设置。 跨VPC后端IP参数配置 跨VPC后端IP配置 说明 选择网络 选择ELB实例所在VPC之外的其它VPC，从下拉列表框选择。 批量添加端口 跨VPC后端IP的服务端口一致时，可在此输入框输入端口，点击确定自动填充所有跨VPC后端IP的端口设置。 后端IP添加 填写跨VPC后端IP、端口、权重，权重不填写缺省为1，支持移除操作；端口范围为165535；权重取值范围为 1 256。 添加完成后，如有需要您可以移除跨VPC后端IP 或者修改端口、权重。

本文向您介绍企业版VPN中配额类问题。 虚拟专用网络的配额是什么？ 什么是配额 为防止资源滥用，平台限定了各服务资源的配额，对用户的资源数量和容量做了限制。如您最多可以创建多少台弹性云主机、多少块云硬盘。 如果当前资源配额限制无法满足使用需要，您可以申请扩大配额。 资源类型 企业版VPN的资源类型包括VPN网关、VPN连接和对端网关，对应资源类型的总配额根据部署Region存在差异，请以实际部署环境为准。 怎样查看我的配额？ 1. 登录管理控制台，并选择区域。 2. 单击页面右上角的“我的配额”图标。 系统进入“服务配额”页面。 3. 您可以在“服务配额”页面，查看各项资源的总配额及使用情况。 如果当前配额不能满足业务要求，请提交工单，申请扩大配额。 创建VPN网关和连接的缺省配额是多少？ 每个用户缺省可创建50个VPN网关和100个对端网关；每个VPN网关缺省可创建100个连接组。其中，VPN网关不同EIP对接到对端网关的同一个公网IP占用1个VPN连接组配额；VPN网关不同EIP对接到对端网关的不同公网IP或多个对端网关的公网IP占用2个VPN连接组配额。

态势感知（专业版）支持对云上资产全面自动盘点，也可灵活纳管云外各种资产，点清所有资产，并呈现资产实时安全状态。 在资产管理中，可以查看当前工作空间所在region中所有资源的安全状态统计信息，包括资源的名称、所属服务、安全状况等，帮助您快速定位安全风险问题并提供解决方案。

本文介绍如何创建Oracle数据库备份。 操作场景 通过创建Oracle备份任务来备份Oracle的数据，并在需要时通过备份副本进行Oracle数据库文件的恢复，再导入数据库。 约束与限制 存储库需要和安装了客户端的备份主机在同一地域（网络可达）。 支持在能连接上Oracle数据库主机上安装客户端，进行备份。 单个客户端同一时刻最多同时执行2个任务（含1个备份任务和1个恢复任务，超出该数量的任务将按时间先后排队执行）。 前提条件 已创建存储库。 主机客户端状态为“在线”，具体步骤参见安装客户端。 主机内安装了 "Oracle" 或者 "Oracle Client"。 操作步骤 1. 登录控制中心。 2. 在控制中心左上角选择地域，此处选择华东华东1。 3. 选择“存储>云备份”，进入云备份控制台，单击左侧“混合备份（存储版）”按钮，进入混合备份界面 4. 单击“主机列表”，选择对应主机，点击更多下的“新建任务”或者“任务列表”的"新建备份任务"按钮进入备份任务界面。 5. 点击 “添加资源”，添加 "Oracle"连接，输入对应参数，确认创建连接，可点击“连接”按钮确认数据库连接状态。 6. 选择创建好的"Oracle"连接，点击下一步。 7. 选择需要备份的数据库内容，点击下一步。 8. 选择备份的目标存储库并配置备份周期、导出目录、最大版本数等备份策略，点击“下一步”。 9. 自定义备份任务名称，确认备份信息无误后，点击“提交”，完成任务创建。

本文介绍Redis实例支持SSL加密传输 Redis 6.0基础版实例SSL默认关闭，如需开启SSL加密传输，请参考SSL设置。 在开启SSL加密传输时，会为每个实例生成唯一的服务证书。客户端可以使用从服务控制台上下载的CA根证书，并在连接实例时提供该证书，对实例服务端进行认证并达到加密传输的目的。 Redis 2.8/4.0/5.0不支持SSL加密传输，仅支持明文传输。

触发器/服务功能 权限 APIG专享版 apig:instances:get apig:instances:create apig:instances:update apig:instances:list apig:sharedInstance:operate DDS dds:instance:get dds:instance:list DMS/Kafka dms:instance:get dms:instance:list LTS lts:groups:create lts:groups:get lts:groups:list lts:groups:put lts:logstreams:delete lts:logstreams:list lts:topics:get lts:subscriptions:create lts:subscriptions:delete lts:subscriptions:put lts:structConfig:create lts:structConfig:get

您可以根据需要查看并行文件服务的监控数据,本文帮助您了解查看HPFS监控数据相关操作。 操作场景 并行文件服务开通后自动接入云监控服务，无需格外开通。通过云监控服务查看文件系统的监控数据，您可以了解到文件系统的使用情况。 操作步骤 方式一：通过并行文件服务控制台查看 1. 登录天翼云控制中心，单击管理控制台左上角的，选择地域。 2. 单击“存储>并行文件服务”，进入并行文件服务的控制台页面。 3. 在文件系统列表页，点击文件系统名称，可以跳转至文件系统详情页。 4. 在文件系统详情页，点击监控图表的页签页，即可进入监控数据页面。 5. 您可以选择监控时间段，查看对应的监控数据。也可以点击具体监控项图标右上角的“查看”按钮设定所需查看的监控时间段、周期等，获取想要的监控数据。 方式二：通过云监控服务控制台查看 1. 登录天翼云控制中心，单击管理控制台左上角的，选择地域。 2. 单击“管理与部署>云监控服务”，进入云监控控制台页面。 3. 单击“云服务监控”下拉菜单，选择"并行文件监控”。 4. 在并行文件监控页面选定需要查看的文件系统名称，单击操作栏下面的“查看监控图标”，即可进入监控数据页面。 5. 您可以选择监控时间段，查看对应的监控数据。也可以点击具体监控项图标右上角的“查看”按钮设定所需查看的监控时间段、周期等，获取想要的监控数据。

本文向您介绍通过企业版VPN实现云上云下网络互通（主备模式）的方案概述。 应用场景 当用户数据中心需要和VPC下的ECS资源进行相互访问时，可以通过VPN快速实现云上云下网络互通。 方案架构 本示例中，用户数据中心和VPC之间采用两条VPN连接保证网络可靠性，连接1和连接2互为主备。当其中一条VPN连接故障时，系统可以自动切换到另一条VPN连接，保证网络不中断。 图方案架构 方案优势 双连接：VPN网关提供两个接入地址，支持一个对端网关创建两条相互独立的VPN连接，一条连接中断后流量可快速切换到另一条连接。 主备网关：VPN主备网关部署在不同的AZ区域，实现AZ级高可用保障。 约束与限制 VPN网关的本端子网与对端子网不能相同，即VPC和用户数据中心待互通的子网不能相同。 VPN网关和对端网关的IKE策略、IPsec策略、预共享密钥需要相同。 VPN网关和对端网关上配置的本端接口地址和对端接口地址需要互为镜像。 VPC内弹性云服务器安全组允许访问对端和被对端访问。

本章主要介绍翼MapReduce的启用集群间拷贝功能。 操作场景 当用户需要将保存在HDFS中的数据从当前集群备份到另外一个集群时，需要使用DistCp工具。DistCp工具依赖于集群间拷贝功能，该功能默认未启用。拷贝数据的集群双方都需要配置。 管理员可以根据以下指导，在FusionInsight Manager修改参数以启用集群间拷贝功能。启用之后即可创建将数据备份至远端HDFS（RemoteHDFS）的备份任务。 对系统的影响 启用集群间复制功能需要重启Yarn，服务重启期间无法访问。 前提条件 拷贝数据的集群的HDFS的参数“hadoop.rpc.protection”需使用相同的数据传输方式。默认设置为“privacy”表示加密，“authentication”表示不加密。 对于安全模式的集群，集群之间需要配置系统互信。 操作步骤 1.登录其中一个集群的FusionInsight Manager。 2.选择“集群 > 待操作集群的名称 > 服务> Yarn > 配置”，单击“全部配置”。 3.左边菜单栏中选择“Yarn > 集群间拷贝”。 4.修改参数“dfs.namenode.rpcaddress”，在“haclusterX.remotenn1”右侧填写对端集群其中一个NameNode实例的业务IP和RPC端口，在“haclusterX.remotenn2”右侧填写对端集群另外一个NameNode实例的业务IP和RPC端口。 “haclusterX.remotenn1”和“haclusterX.remotenn2”不区分主备NameNode。NameNode RPC端口默认为“8020”，不支持通过Manager修改。 修改后参数值例如：“10.1.1.1:8020”和“10.1.1.2:8020”。 说明 如果本集群数据要备份至多个集群的HDFS中，可以继续配置对应的NameNode RPC地址至haclusterX1、haclusterX2、haclusterX3、haclusterX4。 5.单击“保存”，并在确认对话框中单击“确定”。 6.重启Yarn服务。 7.登录另外一个集群的FusionInsight Manager，重复2~6。

本章主要介绍翼MapReduce的加固策略功能。 加固Tomcat 在FusionInsight Manager软件安装及使用过程中，针对Tomcat基于开源做了如下功能增强： 升级Tomcat版本为官方稳定版本。 设置应用程序webapplications之下的目录权限为500，对webapplications之下的部分目录支持写权限。 系统软件安装完成后自动清除Tomcat安装包。 webapplications下针对工程禁用自动部署功能，只部署了web、cas和clientregistry三个工程。 禁用部分未使用的http方法，防止被他人利用攻击。 更改Tomcat服务器默认shutdown端口号和命令，避免被黑客捕获利用关闭服务器，降低对服务器和应用的威胁。 出于安全考虑，更改“maxHttpHeaderSize”的取值，给服务器管理员更大的可控性，以控制客户端不正常的请求行为。 安装Tomcat后，修改Tomcat版本描述文件。 为了避免暴露Tomcat自身的信息，更改Connector的Server属性值，使攻击者不易获知服务器的相关信息。 控制Tomcat自身配置文件、可执行文件、日志目录、临时目录等文件和目录的权限。 关闭会话facade回收重用功能，避免请求泄漏风险。 CookieProcessor使用LegacyCookieProcessor，避免cookie中的敏感数据泄漏。 加固LDAP 在安装完集群后，针对LDAP做了如下功能增强： LDAP配置文件中管理员密码使用SHA加密，当升级openldap版本为2.4.39或更高时，主备LDAP节点服务自动采用SASL External机制进行数据同步，避免密码信息被非法获取。 集群中的LDAP服务默认支持SSLv3协议，可安全使用。当升级openldap版本为2.4.39或更高时，LDAP将自动使用TLS1.0以上的协议通讯，避免未知的安全风险。

本章主要介绍翼MapReduce的恢复Kafka元数据功能。 操作场景 在用户意外修改、删除或需要找回数据时，系统管理员对ZooKeeper进行重大操作（如升级、重大数据调整等）后，系统数据出现异常或未达到预期结果，导致Kafka组件全部故障无法使用，或者迁移数据到新集群的场景中，需要对Kafka元数据进行恢复数据操作。 系统管理员可以通过FusionInsight Manager创建恢复Kafka任务。只支持创建任务手动恢复数据。 须知 只支持进行数据备份时的系统版本与当前系统版本一致时的数据恢复。 当业务正常时需要恢复Kafka元数据，建议手动备份最新Kafka元数据后，再执行恢复操作。否则会丢失从备份时刻到恢复时刻之间的Kafka元数据信息。 对系统的影响 元数据恢复后，会丢失从备份时刻到恢复时刻之间的数据。 元数据恢复后，Kafka的消费者在ZooKeeper上保存的offset信息将会回退，可能导致重复消费。 前提条件 如果需要从远端HDFS恢复数据，需要准备备集群。如果主集群部署为安全模式，且主备集群不是由同一个FusionInsight Manager管理，则必须配置系统互信，请参见配置跨Manager集群互信。如果主集群部署为普通模式，则不需要配置互信。 主备集群必须已配置跨集群拷贝，请参见启用集群间拷贝功能。 主备集群上的时间必须一致，而且主备集群上的NTP服务必须使用同一个时间源。 先停止Kafka服务，待恢复完成后，再启动Kafka服务。 登录FusionInsight Manager，请参见登录管理系统。

本章主要介绍翼MapReduce的备份HDFS业务数据功能。 操作场景 为了确保HDFS日常用户的业务数据安全，或者系统管理员需要对HDFS进行重大操作（如升级或迁移等），需要对HDFS数据进行备份，从而保证系统在出现异常或未达到预期结果时可以及时进行数据恢复，将对业务的影响降到最低。 系统管理员可以通过FusionInsight Manager创建备份HDFS任务并备份数据。支持创建任务自动或手动备份数据。 说明 加密目录不支持备份恢复。 前提条件 如果数据要备份至远端HDFS中，需要准备一个用于备份数据的备集群，认证模式需要与主集群相同。其他备份方式不需要准备备集群。 如果主集群部署为安全模式，且主备集群不是由同一个FusionInsight Manager管理，则必须配置系统互信，请参见配置跨Manager集群互信。如果主集群部署为普通模式，则不需要配置互信。 主备集群必须已配置跨集群拷贝，请参见启用集群间拷贝功能。 主备集群上的时间必须一致，而且主备集群上的NTP服务必须使用同一个时间源。 根据业务需要，规划备份任务的类型、周期、备份对象、备份目录和备份任务需要使用的Yarn队列等策略规格。 检查备集群HDFS是否有充足的空间，备份文件保存的目录建议使用用户自定义的目录。 使用HDFS客户端，以“hdfs”用户执行hdfs lsSnapshottableDir检查当前集群中已创建HDFS快照的目录清单，确保待备份的数据文件所在HDFS路径的父目录或子目录不存在HDFS快照，否则无法创建备份任务。 如果数据要备份至NAS中，需要提前部署好NAS服务端。

本章节主要介绍翼MapReduce的切换Ranger鉴权操作。 操作场景 新安装的安全模式集群默认即安装了Ranger服务并启用了Ranger鉴权，用户可以通过组件的权限插件对组件资源的访问设置细粒度的安全访问策略。若不需使用Ranger进行鉴权，管理员可在服务页面手动停用Ranger鉴权，停用Ranger鉴权后，访问组件资源时系统将继续基于FusionInsight Manager的角色模型进行权限控制。 从历史版本升级的集群，用户访问组件资源时默认不使用Ranger鉴权，管理员可在安装了Ranger服务后手动启用Ranger鉴权。 说明 安全模式集群中，支持使用Ranger鉴权的组件包括：HDFS、Yarn、Kafka、Hive、HBase、Storm、Spark2x、Impala。 非安全模式集群中，Ranger可以支持基于OS用户进行组件资源的权限控制，支持启用Ranger鉴权的组件包括：HBase、HDFS、Hive、Spark2x、Yarn。 启用Ranger鉴权后，该组件所有鉴权将由Ranger统一管理，原鉴权插件设置的权限将会失效（HDFS与Yarn的组件ACL规则仍将生效），请谨慎操作，建议提前在Ranger上做好权限部署。 停用Ranger鉴权后，该组件所有鉴权将由组件自身权限插件管理，Ranger上设置的权限将会失效，请谨慎操作，建议提前在Manager上做好权限部署。 启用Ranger鉴权 1. 登录FusionInsight Manager。 2. 选择“集群 > 服务”。 3. 单击服务视图中指定的服务名称。 4. 在服务详情页面单击“更多”，选择“启用Ranger鉴权”。 5. 输入当前登录的用户密码确认身份，单击“确定”。 6. 在服务列表，重启配置过期的服务。

本章主要介绍翼MapReduce的恢复DBService数据功能。 操作场景 在用户意外修改、删除或需要找回数据时，系统管理员对DBService进行重大操作（如升级、重大数据调整等）后，系统数据出现异常或未达到预期结果，模块全部故障无法使用，或者迁移数据到新集群的场景中，需要对DBService进行恢复数据操作。 系统管理员可以通过FusionInsight Manager创建恢复DBService任务。只支持创建任务手动恢复数据。 须知 只支持进行数据备份时的系统版本与当前系统版本一致时的数据恢复。 当业务正常时需要恢复数据，建议手动备份最新管理数据后，再执行恢复数据操作。否则会丢失从备份时刻到恢复时刻之间的DBService数据。 MRS集群中默认使用DBService保存Hive、Hue、Loader、Spark、Oozie的元数据。恢复DBService的数据将恢复全部相关组件的元数据。 对系统的影响 数据恢复后，会丢失从备份时刻到恢复时刻之间的数据。 数据恢复后，依赖DBService的组件可能配置过期，需要重启配置过期的服务。 前提条件 如果需要从远端HDFS恢复数据，需要准备备集群。如果主集群部署为安全模式，且主备集群不是由同一个FusionInsight Manager管理，则必须配置系统互信，请参见配置跨Manager集群互信。如果主集群部署为普通模式，则不需要配置互信。 主备集群必须已配置跨集群拷贝，请参见启用集群间拷贝功能。 主备集群上的时间必须一致，而且主备集群上的NTP服务必须使用同一个时间源。 检查DBService主备实例状态是否正常。如果不正常，不能执行恢复操作。

本章节主要介绍翼MapReduce的修改用户密码操作。 操作场景 出于安全的考虑，“人机”类型系统用户密码必须定期修改。 如果用户具备使用FusionInsight Manager的权限时，可以通过FusionInsight Manager完成修改自身密码工作。 如果用户不具备使用FusionInsight Manager的权限时，可以通过客户端修改自身密码。 前提条件 从管理员获取当前的密码策略。 已在集群内的任一节点安装了客户端，并获取此节点IP地址。请联系管理员获取客户端安装用户密码。 使用FusionInsight Manager修改密码 1. 登录FusionInsight Manager。 2. 移动鼠标到界面右上角的用户名。 在弹出菜单中单击“修改密码”。 3. 在“密码修改界面”分别输入“旧密码”、“新密码”、“确认新密码”，单击“确定”完成修改。 默认密码复杂度要求： 密码字符长度最小为8位。 至少需要包含大写字母、小写字母、数字、空格、特殊字符5种类型字符中的4种。支持的特殊字符为~!@ $%^&()+[{}];', /? 。 不可和用户名相同或用户名的倒序字符相同。 不可以为常见的易破解密码。 不可与最近N次使用过的密码相同，N为配置密码策略中“重复使用规则”的值。 使用客户端修改密码 1. 以客户端安装用户登录安装客户端的节点。 2. 执行以下命令，切换到客户端目录，例如“/opt/Bigdata/client”。 cd /opt/Bigdata/client 3. 执行以下命令，配置环境变量。 source bigdataenv 4. 执行以下命令，修改系统用户密码。此操作对所有服务器生效。 kpasswd 系统用户名称 例如，修改系统用户“test1”，执行 kpasswd test1 。 默认密码复杂度要求： 密码字符长度最小为8位。 至少需要包含大写字母、小写字母、数字、空格、特殊字符5种类型字符中的4种。支持的特殊字符为~!@

本章节主要介绍翼MapReduce的多租户功能。 定义 多租户是MRS集群中的多个资源集合（每个资源集合是一个租户），具有分配和调度资源的能力。资源包括计算资源和存储资源。 背景 现代企业的数据集群在向集中化和云化方向发展，企业级大数据集群需要满足： 不同用户在集群上运行不同类型的应用和作业（分析、查询、流处理等），同时存放不同类型和格式的数据。 某些类型的用户（例如银行、政府单位等）对数据安全非常关注，很难容忍将自己的数据与其他用户的放在一起。 这给大数据集群带来了以下挑战： 合理地分配和调度资源，以支持多种应用和作业在集群上平稳运行。 对不同的用户进行严格的访问控制，以保证数据和业务的安全。 多租户将大数据集群的资源隔离成一个个资源集合，彼此互不干扰，用户通过“租用”需要的资源集合，来运行应用和作业，并存放数据。在大数据集群上可以存在多个资源集合来支持多个用户的不同需求。 对此，MRS企业级大数据集群提供了完整的企业级大数据多租户解决方案。 优势 合理配置和隔离资源 租户之间的资源是隔离的，一个租户对资源的使用不影响其他租户，保证了每个租户根据业务需求去配置相关的资源，可提高资源利用效率。 测量和统计资源消费 系统资源以租户为单位进行计划和分配，租户是系统资源的申请者和消费者，其资源消费能够被测量和统计。 保证数据安全和访问安全 多租户场景下，分开存放不同租户的数据，以保证数据安全；控制用户对租户资源的访问权限，以保证访问安全。

事件类型 告警名称 告警说明 企业版 旗舰版 网页防篡改版 加入告警白名单 隔离查杀 恶意软件 恶意程序 恶意程序可能是黑客入侵成功之后植入的木马、后门等，用于窃取数据或攫取不当利益。 例如：黑客入侵之后植入木马，将受害主机作为挖矿、DDoS肉鸡使用，这类程序会大量占用主机的CPU资源或者网络资源，破坏用户业务的稳定性。 通过程序特征、行为检测，结合AI图像指纹算法以及云查杀，有效识别后门、木马、挖矿软件、蠕虫和病毒等恶意程序，也可检测出主机中未知的恶意程序和病毒变种，并提供一键隔离查杀能力。 √ √ √ √ √ 恶意软件 勒索软件 检测来自网页、软件、邮件、存储介质等介质捆绑、植入的勒索软件。 勒索软件用于锁定、控制您的文档、邮件、数据库、源代码、图片、压缩文件等多种数据资产，并以此作为向您勒索钱财的筹码。 × √ √ √ ×（部分支持） 恶意软件 Webshell 检测云服务器上web目录中的文件，判断是否为Webshell木马文件，支持检测常见的PHP、JSP等后门文件类型。 您可以在“策略管理”的“Webshell检测”中配置Webshell检测，HSS会实时检测执行的可疑指令，主机被远程控制执行任意命令等。 × √ √ √ × 恶意软件 反弹Shell 实时监控用户的进程行为，及时发现进程的非法Shell连接操作产生的反弹Shell行为。 支持对TCP、UDP、ICMP等协议的检测。 您可以在“策略管理”的“恶意文件检测”中配置反弹Shell检测，HSS会实时检测执行的可疑指令，主机被远程控制执行任意命令等。 × √ √ √ × 漏洞利用 一般漏洞利用 实时检测利用漏洞入侵主机的行为，对发现的入侵行为进行告警上报。 √ √ √ √ × 系统异常行为 文件提权 当黑客成功入侵主机后，会尝试利用漏洞进行root提权或者文件提权，从而达到非法创建和修改系统帐号的权限或者篡改文件的目的。 HSS检测当前系统的“进程提权”和“文件提权”操作。 检测以下异常提权操作： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 对文件的提权。 √ √ √ √ × 系统异常行为 进程提权 检测以下进程提权操作并进行告警： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 √ √ √ √ × 系统异常行为 关键文件变更 篡改系统关键文件，通常是黑客入侵成功后进行身份隐藏或者发起下一步攻击的准备工作。 对系统关键文件（例如：ls、ps、login、top等）及目录进行监控，一旦文件被修改就进行告警，提醒用户关键文件存在被篡改的可能。监控的关键文件的路径请参见关键文件变更监控路径。 关键文件变更信息包括“被更改的关键文件路径”、“文件最后修改时间”以及配置文件所在的“服务器名称”。 文件/目录变更信息包括“文件别名”、“被更改的关键文件路径”以及配置文件所在的“服务器名称”。 添加关键文件指纹库，收集关键文件信息，便于清点合法文件信息，检测异常文件。 对于关键文件变更，HSS只检测目录或文件是否被修改，不关注是人为或者某个进程修改的。 √ √ √ √ × 系统异常行为 文件/目录变更 实时监控系统文件/目录，对创建、删除、移动、修改属性或修改内容的操作进行告警，提醒用户文件/目录可能被篡改。 √ √ √ √ × 系统异常行为 进程异常行为 检测各个主机的进程信息，包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 √ √ √ √（部分支持） × 系统异常行为 高危命令执行 您可以在“策略管理”的“高危命令检测”中预置高危命令。 HSS实时检测当前系统中执行的高危命令，当发生高危命令执行时，及时触发告警。 √ √ √ √ × 系统异常行为 异常Shell 检测系统中异常Shell的获取行为，包括对Shell文件的修改、删除、移动、复制、硬链接、访问权限变化。 您可以在“策略管理”的“恶意文件检测”中配置异常Shell检测，HSS会实时检测执行的可疑指令，主机被远程控制执行任意命令等。 √ √ √ √ × 系统异常行为 Crontab可疑任务 检测并列出当前所有主机系统中自启动服务、定时任务、预加载动态库、Run注册表键或者开机启动文件夹的汇总信息。 帮助用户通过自启动变更情况，及时发现异常自启动项，快速定位木马程序的问题。 × × √ √ × 用户异常行为 暴力破解 黑客通过帐户暴力破解成功登录主机后，便可获得主机的控制权限，进而窃取用户数据、植入挖矿程序，DDoS木马攻击等恶意操作，严重危害主机的安全。 检测SSH、RDP、FTP、SQL Server、MySQL等帐户遭受的口令破解攻击。 如果30秒内，帐户暴力破解次数（连续输入错误密码）达到5次及以上，HSS就会拦截该源IP，禁止其再次登录，防止主机因帐户破解被入侵。 SSH类型攻击默认拦截12小时，其他类型攻击默认拦截24小时。 根据帐户暴力破解告警详情，如“攻击源IP”、“攻击类型”和“拦截次数”，您能够快速识别出该源IP是否为可信IP，如果为可信IP，您可以通过手动解除拦截的方式，解除拦截的可信IP。 √ √ √ √ × 用户异常行为 异常登录 检测“异地登录”和“帐户暴力破解成功”等异常登录。若发生异常登录，则说明您的主机可能被黑客入侵成功。 检测主机异地登录行为并进行告警，用户可根据实际情况采取相应措施（例如：忽略、修改密码等）。 异地登录检测信息包括被拦截的“登录源IP”、“登录时间”，攻击者尝试登录主机时使用的“用户名”和“云服务器名称”。 若在非常用登录地登录，则触发安全事件告警。 若帐户暴力破解成功，登录到云主机，则触发安全事件告警。 √ √ √ √ × 用户异常行为 非法系统帐号 黑客可能通过风险帐号入侵主机，以达到控制主机的目的，需要您及时排查系统中的帐户。 HSS检查系统中存在的可疑隐藏帐号、克隆帐号；若存在可疑帐号、克隆帐号等，则触发告警。 √ √ √ √ ×

通过本接口可在点播模式下创建一个视频条目。 接口功能介绍 注意 本接口适用于2026年3月13日之后开通的新增客户。在此之前开通的存量客户，如已使用旧版API或者旧版SDK开发业务的，可继续沿用旧接口和SDK，也可视自身情况迁移至新接口。 通过本接口可在点播模式下创建一个视频条目。 上传原理概述 视频文件的创建、存储需要分3步来进行。 步骤1：初始化上传，在此步骤需要将所有的业务管理信息发送到云点播服务中创建视频文件接口，接口成功之后会返回分片上传的地址列表，如后文的响应示例所示。 调用了该接口但未调用完成上传视频接口，系统会在数据库中存入这些业务信息（以及一些中间信息，例如uploadId），但由于这条视频信息还处于 UPLOADING的状态，除了删除视频外的其他接口，均不会对这些视频造成影响。例如在提交任务接口中，甚至会返回找不到该视频的错误。 步骤2： 将视频文件片上传到步骤1返回的URL列表中。 将完整的视频按照步骤1约定的大小进行切片，然后将片段按照顺序使用 data.uploadUrls 中返回的预签名 URL 通过PUT方法上传到服务器。JAVA版原理示例如下，用户可结合自己的开发语言自行实现。signature签名已在步骤1中提供，如果过期可以参考签名应用及示例中SHELL示例重签。 java File localVideoFile new File("fullFilePath"); // 从第一步初始化分片获取各个分片上传预签名链接 // 例如 List partPresignedUrlList; // 分片大小示例为5M int partSize 5 1024 1024; // 存放每个分片上传成功后的etag List partEtags new LinkedList<>(); // 从第一片开始 int partNumber 1; // 实例化一个OkHttpClient OkHttpClient okHttpClient buildOkHttpClient(); // 依次读取、上传各个分片字节流 try (FileInputStream fin new FileInputStream(localVideoFile); FileChannel channel fin.getChannel()) { ByteBuffer buffer ByteBuffer.allocate(partSize); byte[] partContent new byte[partSize]; int partLength 0; while ((partLength (channel.read(buffer))) ! 1) { String partPresignedUrl partPresignedUrlList.get(partNumber 1); // 读取第partNumber片字节流 ((Buffer) buffer).flip(); buffer.get(partContent, 0, partLength); // 上传第partNumber片字节流 RequestBody body RequestBody.create(partContent, null, 0, partLength); Request req new Request.Builder().url(partPresignedUrl).put(body).build(); int uploadRetryCount 0; while (uploadRetryCount < 3) { try (Response response okHttpClient.newCall(req).execute()) { if (response.isSuccessful()) { log.info("Put part to [{}] successfully!", partPresignedUrl); partEtags.add(response.header("etag")); break; } log.error("put part to [{}] failed,failed code is {}, error:{}", partPresignedUrl, response.code(), response.body().string()); uploadRetryCount++; log.info("Retry to put part to [{}] again!", partPresignedUrl); } catch (Exception ex) { log.error("put part to [{}] failed:", partPresignedUrl, ex); uploadRetryCount++; log.info("Retry to put part to [{}] again!", partPresignedUrl); } } // 清空缓存区 ((Buffer) buffer).clear(); } } 步骤3：调用云点播服务完成上传视频接口完成本次上传。步骤2每次上传成功之后，需要记录请求 Response 中的 eTag 头部信息，在步骤3完成上传视频的接口参数中传入该参数。

时间粒度 可查询历史数据时间范围 数据延迟 单次可查询的时间跨度 1m 最近7天 5分钟 3小时 5m 最近365天 20分钟 31天 1h 最近365天 20分钟 31天 24h 最近365天 20分钟 31天

时间粒度 可查询历史数据时间范围 数据延迟 单次可查询的时间跨度 1m 最近7天 5分钟 3小时 5m 最近186天 20分钟 31天 1h 最近186天 20分钟 31天 24h 最近186天 20分钟 31天

时间粒度 可查询历史数据时间范围 数据延迟 单次可查询的时间跨度 1m 最近7天 5分钟 3小时 5m 最近186天 20分钟 31天 1h 最近186天 20分钟 31天 24h 最近186天 20分钟 31天

时间粒度 可查询历史数据时间范围 数据延迟 单次可查询的时间跨度 1m 最近7天 5分钟 3小时 5m 最近365天 20分钟 31天 1h 最近365天 20分钟 31天 24h 最近365天 20分钟 31天

时间粒度 可查询历史数据时间范围 数据延迟 单次可查询的时间跨度 1m 最近7天 5分钟 3小时 5m 最近365天 20分钟 31天 1h 最近365天 20分钟 31天 24h 最近365天 20分钟 31天

时间粒度 可查询历史数据时间范围 数据延迟 单次可查询的时间跨度 1m 最近7天 5分钟 3小时 5m 最近365天 20分钟 31天 1h 最近365天 20分钟 31天 24h 最近365天 20分钟 31天

时间粒度 可查询历史数据时间范围 数据延迟 单次可查询的时间跨度 1m 最近7天 5分钟 3小时 5m 最近365天 20分钟 31天 1h 最近365天 20分钟 31天 24h 最近365天 20分钟 31天