步骤二：查看监控大盘 方式1：在云容器引擎控制台查看 登录云容器引擎控制台，进入集群列表页面，点击目标集群名称，在左侧导航栏中选择运维管理 > 监控，在监控页面中单击需要查看的监控大盘，即可查看相应的监控数据。 方式2：在Prometheus服务控制台查看 1. 登录Prometheus监控服务控制台，左侧点击接入管理。 2. 在接入管理页面，点击大盘查询页签。 3. 在容器环境中选择待查看的集群，即可查看对应的监控大盘。 步骤三：设置告警 1. 登录Prometheus监控服务控制台，左侧点击告警规则。 2. 顶部选择对应的Prometheus实例，即可查看Prometheus内置的告警通知，您可对告警规则进行编辑、启停等操作。 容器基础监控指标 以下为部分容器集群基础指标，指标基础免费存储15天，存储时长超过15天的实例，将按照超出的天数，收取免费指标的存储费用。 指标 指标描述 分组 单位 containermemoryfailurestotal 容器内存失败数 cadvisor containermemoryrss 容器内存rss cadvisor bytes containerspecmemorylimitbytes 容器内存limit cadvisor bytes containermemoryfailcnt 容器内存failcnt cadvisor containermemorycache 容器内存cache cadvisor containermemoryswap 容器内存swap cadvisor containermemoryusagebytes 容器内存使用量 cadvisor bytes containermemorymaxusagebytes 容器内存最大用量 cadvisor bytes containercpuloadaverage10s 容器cpu平均负载 cadvisor containerfsreadstotal 容器文件系统读总数 cadvisor containerfswritestotal 容器文件系统吸入总数 cadvisor containernetworktransmitpacketstotal 容器网络发包数 cadvisor containernetworktransmiterrorstotal 容器网络发送错误数 cadvisor containernetworkreceiveerrorstotal 容器网络接收错误数 cadvisor containernetworktransmitbytestotal 容器网络传输的字节数 cadvisor bytes containernetworkreceivebytestotal 容器网络接收的字节数 cadvisor bytes containermemoryworkingsetbytes 容器内存用量 cadvisor bytes containercpuusagesecondstotal 容器cpu用量 cadvisor containerfsreadsbytestotal 容器文件系统读总字节 cadvisor bytes containerfswritesbytestotal 容器文件系统写总字节 cadvisor bytes containerspeccpuquota 容器cpu配额 cadvisor containercpucfsperiodstotal 容器中 CPU CFS (Completely Fair Scheduler) 周期的总数 cadvisor containercpucfsthrottledperiodstotal 容器中 CPU CFS 被限制的周期总数 cadvisor containercpucfsthrottledsecondstotal 容器中 CPU CFS 被限制的总时间 cadvisor containerfsinodesfree 容器inode free cadvisor containerfsiotimesecondstotal 容器io占cpu时间 cadvisor containerfsiotimeweightedsecondstotal 容器文件系统 I/O 的加权时间总数 cadvisor containerfslimitbytes 容器文件系统limit cadvisor bytes containertasksstate 容器中任务的状态 cadvisor containerfsreadsecondstotal 容器文件系统读时间 cadvisor containerfswritesecondstotal 容器文件系统写时间 cadvisor containerfsusagebytes 容器文件系统的使用字节数 cadvisor bytes containerfsinodestotal 容器文件系统的 inode 总数 cadvisor containerfsiocurrent 容器文件系统当前的 I/O 活动 cadvisor machinecpucores 机器CPU核心数 cadvisor machinememorybytes 机器内存字节数 cadvisor bytes gogcdurationseconds Go GC耗时（秒） prometheusnodeexporter gogoroutines Go运行协程数 prometheusnodeexporter nodeboottimeseconds 节点启动时间（秒） prometheusnodeexporter nodecontextswitchestotal 节点上下文切换总数 prometheusnodeexporter kubenodelabels 节点标签 kubestatemetrics nodecpusecondstotal 节点CPU使用时间总计 prometheusnodeexporter nodediskionow 节点磁盘I/O当前量 prometheusnodeexporter nodediskiotimesecondstotal 节点磁盘I/O时间总计（秒） prometheusnodeexporter nodediskiotimeweightedsecondstotal 节点磁盘I/O加权时间总计（秒） prometheusnodeexporter nodediskreadbytestotal 节点磁盘读取字节总计 prometheusnodeexporter bytes nodediskreadtimesecondstotal 节点磁盘读取时间总计（秒） prometheusnodeexporter nodediskreadscompletedtotal 节点磁盘读取完成总数 prometheusnodeexporter nodediskwritetimesecondstotal 节点磁盘写入时间总秒数 prometheusnodeexporter nodediskwritescompletedtotal 节点磁盘写入完成总数 prometheusnodeexporter nodediskwrittenbytestotal 节点磁盘写入字节总数 prometheusnodeexporter bytes nodeexporterbuildinfo 节点导出器构建信息 prometheusnodeexporter nodefilefdallocated 节点文件描述符已分配 prometheusnodeexporter nodefilesystemavailbytes 节点文件系统可用字节数 prometheusnodeexporter bytes nodefilesystemfiles 节点文件系统文件数 prometheusnodeexporter nodefilesystemfilesfree 节点文件系统空闲文件数 prometheusnodeexporter nodefilesystemfreebytes 节点文件系统空闲字节数 prometheusnodeexporter bytes nodefilesystemreadonly 节点文件系统只读状态 prometheusnodeexporter nodefilesystemsizebytes 节点文件系统总大小字节数 prometheusnodeexporter bytes nodeintrtotal 节点中断总数 prometheusnodeexporter nodeload1 节点1分钟负载 prometheusnodeexporter nodeload15 节点15分钟负载 prometheusnodeexporter nodeload5 节点5分钟负载 prometheusnodeexporter nodememoryBuffersbytes 节点buffers内存大小（字节） prometheusnodeexporter bytes nodememoryCachedbytes 节点cached内存大小（字节） prometheusnodeexporter bytes nodememoryMemAvailablebytes 节点可用内存大小（字节） prometheusnodeexporter bytes nodememoryMemFreebytes 节点空闲内存大小（字节） prometheusnodeexporter bytes nodememoryMemTotalbytes 节点总内存大小（字节） prometheusnodeexporter bytes nodenetstatTcpActiveOpens TCP主动打开连接数 prometheusnodeexporter nodenetstatTcpCurrEstab 当前建立的TCP连接数 prometheusnodeexporter nodenetstatTcpPassiveOpens TCP被动打开连接数 prometheusnodeexporter nodenetworkreceivebytestotal 累计接收字节总数 prometheusnodeexporter bytes nodenetworkreceivedroptotal 接收丢包总数 prometheusnodeexporter nodenetworkreceiveerrstotal 接收错误总数 prometheusnodeexporter nodenetworkreceivepacketstotal 接收数据包总数 prometheusnodeexporter nodenetworktransmitbytestotal 累计发送字节总数 prometheusnodeexporter bytes nodenetworktransmitdroptotal 发送丢包总数 prometheusnodeexporter nodenetworktransmiterrstotal 发送错误总数 prometheusnodeexporter nodenetworktransmitpacketstotal 发送数据包总数 prometheusnodeexporter nodenetworkup 网络接口是否启用 prometheusnodeexporter nodenfconntrackentries 链接状态跟踪表条目数量 prometheusnodeexporter nodenfconntrackentrieslimit 链接状态跟踪表条目限制 prometheusnodeexporter kubenoderole k8s节点角色 kubestatemetrics nodeprocessesmaxprocesses 最大进程数 prometheusnodeexporter nodeprocessespids 进程ID数 prometheusnodeexporter kubenodeinfo 节点信息 kubestatemetrics nodesockstatTCPalloc TCP套接字分配数 prometheusnodeexporter nodesockstatTCPinuse TCP套接字使用中 prometheusnodeexporter nodesockstatTCPtw TCP TIMEWAIT套接字数 prometheusnodeexporter nodetimexoffsetseconds 时间偏移（秒） prometheusnodeexporter nodetimexsyncstatus 时钟同步状态 prometheusnodeexporter nodeunameinfo 系统信息（uname） prometheusnodeexporter nodevmstatpgfault VM统计页故障次数 prometheusnodeexporter nodevmstatpgmajfault VM统计重大页故障次数 prometheusnodeexporter nodevmstatpgpgin VM统计页入次数 prometheusnodeexporter nodevmstatpgpgout VM统计页出次数 prometheusnodeexporter processcpusecondstotal 进程CPU使用秒数总计 prometheusnodeexporter processresidentmemorybytes 进程常驻内存字节数 prometheusnodeexporter bytes scrapedurationseconds 抓取持续时间（秒） prometheusnodeexporter kubecronjobcreated Kubernetes CronJob创建时间 kubestatemetrics kubedaemonsetcreated Kubernetes DaemonSet创建时间 kubestatemetrics kubedaemonsetstatuscurrentnumberscheduled Kubernetes DaemonSet当前计划的节点数量 kubestatemetrics kubedaemonsetstatusdesirednumberscheduled Kubernetes DaemonSet期望计划的节点数量 kubestatemetrics kubedaemonsetstatusnumberavailable Kubernetes DaemonSet可用节点数量 kubestatemetrics kubedaemonsetstatusnumbermisscheduled Kubernetes DaemonSet错过的调度节点数量 kubestatemetrics kubedaemonsetstatusnumberready Kubernetes DaemonSet就绪节点数量 kubestatemetrics kubedaemonsetupdatednumberscheduled Kubernetes DaemonSet已更新的计划节点数量 kubestatemetrics kubedeploymentcreated Kubernetes Deployment创建时间 kubestatemetrics kubedeploymentlabels Kubernetes Deployment标签 kubestatemetrics kubedeploymentmetadatageneration Kubernetes Deployment元数据生成代数 kubestatemetrics kubedeploymentspecreplicas Kubernetes Deployment规格副本数 kubestatemetrics kubedeploymentspecstrategyrollingupdatemaxunavailable Kubernetes Deployment滚动更新最大不可用数 kubestatemetrics kubedeploymentstatusobservedgeneration Kubernetes Deployment观察到的生成代数 kubestatemetrics kubedeploymentstatusreplicas Kubernetes Deployment副本总数 kubestatemetrics kubedeploymentstatusreplicasavailable Kubernetes Deployment可用副本数 kubestatemetrics kubedeploymentstatusreplicasunavailable Kubernetes Deployment不可用副本数 kubestatemetrics kubedeploymentstatusreplicasupdated Kubernetes Deployment已更新副本数 kubestatemetrics kubeingressinfo Ingress信息 kubestatemetrics kubejobcreated job创建时间 kubestatemetrics kubenamespacelabels 命名空间标签 kubestatemetrics kubenamespacestatusphase 命名空间状态阶段 kubestatemetrics kubenodespectaint 节点污点配置 kubestatemetrics kubenodespecunschedulable 节点是否可调度标志 kubestatemetrics kubenodestatusallocatablecpucores 节点可分配CPU核心数 kubestatemetrics kubenodestatusallocatablememorybytes 节点可分配内存字节数 kubestatemetrics bytes kubenodestatusallocatablepods 节点可分配Pod数量 kubestatemetrics kubenodestatuscapacity 节点容量 kubestatemetrics kubenodestatuscapacitycpucores 节点容量CPU核心数 kubestatemetrics kubenodestatuscapacitymemorybytes 节点容量内存字节数 kubestatemetrics bytes kubenodestatuscapacitypods 节点容量Pod数量 kubestatemetrics kubenodestatuscondition 节点状态条件 kubestatemetrics kubepersistentvolumestatusphase 持久卷状态阶段 kubestatemetrics kubepersistentvolumeclaimstatusphase 持久卷声明状态阶段 kubestatemetrics kubepodcontainerinfo Pod容器信息 kubestatemetrics kubepodcontainerresourcelimits Pod容器资源限制 kubestatemetrics kubepodcontainerresourcelimitscpucores Pod容器资源限制CPU核心数 kubestatemetrics kubepodcontainerresourcelimitsmemorybytes Pod容器资源限制内存字节数 kubestatemetrics bytes kubepodcontainerresourcerequestscpucores Pod容器资源请求CPU核心数 kubestatemetrics kubepodcontainerresourcerequestsmemorybytes Pod容器资源请求内存字节数 kubestatemetrics bytes kubepodcontainerstatuslastterminatedreason Pod容器最后终止原因 kubestatemetrics kubepodcontainerstatusrestartstotal Pod容器重启总数 kubestatemetrics kubepodcontainerstatusrunning Pod容器运行状态 kubestatemetrics kubepodcontainerstatusterminated Pod容器终止状态 kubestatemetrics kubepodcontainerstatusterminatedreason Pod容器终止原因 kubestatemetrics kubepodcontainerstatuswaiting Pod容器等待状态 kubestatemetrics kubepodcontainerstatuswaitingreason Pod容器等待原因 kubestatemetrics kubepodinfo Pod信息 kubestatemetrics kubepodlabels Pod标签 kubestatemetrics kubepodowner Pod所属对象 kubestatemetrics kubepodstatusphase Pod状态阶段 kubestatemetrics kubepodstatusready Pod就绪状态 kubestatemetrics kuberesourcequota 资源配额 kubestatemetrics kubesecretinfo secret信息 kubestatemetrics kubeserviceinfo 服务信息 kubestatemetrics kubestatefulsetcreated 有状态副本集创建时间 kubestatemetrics kubestatefulsetreplicas 有状态副本集副本数 kubestatemetrics kubestatefulsetstatusreplicas 有状态副本集状态副本数 kubestatemetrics restclientrequeststotal REST客户端请求总数 kubestatemetrics apiserveradmissioncontrolleradmissiondurationsecondsbucket APIServer准入控制器准入耗时秒数桶 kubeapiserver apiserveradmissionwebhookadmissiondurationsecondsbucket APIServer准入Webhook准入耗时秒数桶 kubeapiserver apiserveradmissionwebhookadmissiondurationsecondscount APIServer准入Webhook准入耗时秒数计数 kubeapiserver apiservercurrentinflightrequests APIServer当前正在处理的请求数量 kubeapiserver apiserverrequestdurationsecondsbucket APIServer请求处理时间（以秒为单位）的桶 kubeapiserver apiserverrequestdurationsecondscount APIServer请求持续时间秒数计数 kubeapiserver apiserverrequestdurationsecondssum APIServer请求持续时间秒数总和 kubeapiserver apiserverrequesttotal API总请求数 kubeapiserver restclientrequestdurationsecondsbucket REST客户端：请求耗时秒数分桶 kubeapiserver etcddebuggingmvccdbtotalsizeinbytes ETCD调试MVCC数据库总大小（字节） etcd bytes etcddebuggingmvcckeystotal ETCD调试MVCC键总数 etcd etcddiskbackendcommitdurationsecondsbucket ETCD磁盘后端提交持续时间秒桶 etcd etcdserverhasleader ETCD服务器有Leader etcd etcdserverleaderchangesseentotal ETCD服务器见证Leader变更总数 etcd schedulerpendingpods 调度器待处理Pod数 kubescheduler schedulerpodschedulingattemptsbucket 调度器Pod调度尝试次数桶 kubescheduler schedulerschedulercachesize 调度器缓存大小 kubescheduler

本章节主要介绍 初始化系统用户密码 。 操作场景 该任务指导管理员在用户遗忘密码或公共帐号密码需要定期修改时，通过Manager初始化密码。初始化密码后用户首次使用需要修改密码。开启Kerberos认证的集群或开启弹性公网IP功能的普通集群支持该操作。 说明 该章节操作仅适用于MRS 3.x之前版本集群。MRS3.x及之后版本集群请参考 对系统的影响 初始化MRS集群用户密码后，如果以前下载过用户认证文件，则需要重新下载并获取keytab文件。 初始化“人机”用户密码 访问MRS Manager，详细操作请参见访问MRSManager（MRS2.x及之前版本）。 1. 在MRS Manager，单击“系统设置”。 2. 在“权限配置”区域，单击“用户管理”。 3. 在要初始化密码用户所在行，单击“更多 > 初始化密码”，按界面提示信息修改用户密码。 在弹出窗口中输入当前登录的管理员密码确认管理员身份，单击“确定”，然后在“初始化密码”单击“确定”。 集群中，默认的密码复杂度要求： 密码字符长度为8～32位。 至少需要包含大写字母、小写字母、数字、空格、特殊字符'~!@ $%^&()+[{}];:'", /?中的3种类型字符。 不能与用户名或倒序的用户名相同。 初始化“机机”用户密码 根据业务情况，准备好客户端，并登录安装客户端的节点。 1. 执行以下命令切换用户。 sudo su omm 2. 执行以下命令，切换到客户端目录，例如“/opt/Bigdata/client”。 cd /opt/Bigdata/client 3. 执行以下命令，配置环境变量。 source bigdataenv 4. 执行以下命令，使用kadmin/admin登录控制台。 说明 kadmin/admin的默认密码为“KAdmin@123”，首次登录后会提示该密码过期，请按照提示修改密码并妥善保存。 kadmin p kadmin/admin 5. 执行以下命令，重置组件运行用户密码。此操作对所有服务器生效。 cpw 组件运行用户名 例如：cpw oms/manager 集群中，默认的密码复杂度要求： 密码字符长度为8～32位。 至少需要包含大写字母、小写字母、数字、空格、特殊字符'~!@

本节主要介绍如何查看告警信息。 操作场景 通过查看告警列表，您可以了解近360天的告警威胁的统计信息列表，列表内容包括告警事件的名称、类型、等级和发生时间等。并可通过自定义过滤条件，如告警名称、告警等级和发生时间等，快速查询到相应告警事件的统计信息。 告警管理页面分别呈现“告警”和“攻击”，二者的区别如下： 名称 数据来源 告警 态势感知（专业版）威胁检测模型生成的告警。 用户自定义新增的告警。 用户导入的告警。 攻击 原始的告警。 前提条件 如果需要查看已接入云服务的告警信息，需要在云服务接入时开启“自动转告警”设置。如果未开启，在对应日志满足告警条件时，将不会转为告警，也不会在“告警管理”页面中进行展示。详细操作请参见接入日志数据。 查看告警信息 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“威胁管理 > 告警管理”，进入告警管理页面。 5. 在告警管理页面查看告警信息。 参数名称 参数说明 设置告警的显示时间范围 左上角可设置展示告警的周期，默认展示最近一周内的告警信息。用户可下拉选择或自定义展示告警的周期： 最近24小时 最近一周 最近一个月 自定义：用户自定义设置起止时间。 信息统计 从3个维度统计状态为“打开”或“阻塞”的告警信息： 来源分布：以柱状图形式统计各数据源的告警数。 类型Top5：以告警数维度降序排序统计前Top5类型的告警。 资产风险Top5:展示告警数多的Top5风险资产。 急需处理告警 当前工作空间中状态为“打开”或“阻塞”且风险等级为“高危”或“致命”的告警数量。 待处理告警 当前工作空间中状态为“打开”或“阻塞”，在筛选的时间范围内未处理告警的数量。 告警总数 当前工作空间在筛选的时间范围内告警总数量。 自动处理告警 当前工作空间在筛选的时间范围内通过剧本自动关闭的告警数量。 手动处理告警 当前工作空间在筛选的时间范围内手动关闭的告警数量。 告警列表 在告警列表中下方可以查看告警总条数。其中，使用翻页查看时最多可查看10000条告警信息，如果需要查看超过10000条以外数据，请优化过滤条件筛选数据。 告警列表中，可以查看告警的类型、等级、来源、处理状态等信息。如需查看某个告警概览信息详情，可单击目标告警分类，页面将展示该条告警的详情信息。 也可单击某条告警，进入告警详情页面，在告警详情页面中，可以对该条告警进行编辑、评论、一键解封、一键阻断、处置、转事件、打开、阻塞、关闭、刷新操作。告警详情页的“基础信息”、“告警说明”、“处置建议”、“攻击技战术”最终呈现的告警参数信息取决于告警模型的字段配置。 告警详情页面分别呈现如下告警信息： 概览 基础信息：呈现告警的基本信息，如告警ID、发生时间、数据来源等。 告警说明：呈现告警模型中配置的除基础信息外的其他告警信息，比如告警描述、置信度、关键性、攻击信息等。 处置建议：告警的处置建议。 分析链接：告警分析名称即产生告警的模型名称。 攻击技战术：攻击技术，攻击战术。 评论：展示该条告警以及运行的剧本的历史评论信息，还可以新增评论。 攻击 关联已有事件：该告警关联的事件。 关联情报：该告警关联的情报。 关联资产：该告警关联的资产信息。

限制互联网访问 1. Linux服务器配置 创建自定义链： sudo iptables N ALLOWEDIPS 添加允许的IP（IP地址为示例，操作时需替换为实际IP地址）： sudo iptables A ALLOWEDIPS s 192.168.1.100 j ACCEPT sudo iptables A ALLOWEDIPS s 10.0.0.5 j ACCEPT sudo iptables A ALLOWEDIPS s 172.24.57.160 j ACCEPT sudo iptables A ALLOWEDIPS j RETURN 应用到SSH端口： sudo iptables A INPUT p tcp dport 22 j ALLOWEDIPS sudo iptables A INPUT p tcp dport 17477 j ALLOWEDIPS 此外，可参考上述命令关闭以下端口互联网访问或设置IP地址白名单：Telnet（23）、Windows文件共享（135、137、138、139、445）、Windows远程桌面（3389）、远程桌面控制（59005910）、数据库类端口（3306、5432、6379、27017）。 2. VPN接入的情况下配置 将OpenClaw Gateway绑定127.0.0.1，切勿直接绑定到0.0.0.0。 关闭18789端口： sudo ufw deny 18789 远程访问时强制使用VPN并启用Gateway认证（在openclaw.json中设置gateway.auth.mode: "token"及强令牌）。 开启详细日志 开启日志记录： openclaw gateway loglevel debug >> /var/log/openclaw.log 2>&1 文件系统访问控制 在Docker部署配置文件(dockercompose.yml)中，利用volumes参数将系统关键目录挂载为:ro（只读）模式，仅保留特定的/workspace为可写状态。 在宿主机系统层，通过chmod 700指令对私密数据目录实施强制访问控制： sudo chmod 700 /path/to/your/workspace

操作 类型 重装操作系统 切换操作系统 变更规格 功能简介 还原服务器的初始化状态。重装前后操作系统不发生改变。 将现有的操作系统切换为不同镜像类型的操作系统。中国大陆外区域（包括中国港澳台及其他国家、地区）不支持Windows镜像和Linux镜像之间的切换。 云主机规格无法满足业务需要时，通过变更规格，升级vCPU、内存。 是否收费 重装动作不收费。重装前后操作系统不变，计费项不发生改变。 切换动作不收费。切换后，系统将根据您选择的产品重新计费。 变更规格动作不收费。但变更规格会引起费用的变化。 IP是否发生改变 私有IP、弹性公网IP、MAC地址均不发生改变。 私有IP、弹性公网IP、MAC地址均不发生改变。 私有IP、弹性公网IP、MAC地址均不发生改变。 对系统盘数据的影响 重装操作系统会清除系统盘数据，包括系统盘上的系统分区和所有其它分区，请做好数据备份。 切换操作系统清除系统盘数据，包括系统盘上的系统分区和所有其它分区，请做好数据备份。 不影响系统盘数据。 对数据盘数据的影响 不影响数据盘数据。 不影响数据盘数据。 不影响数据盘数据。 是否需要做备份 重装会清除系统盘数据，建议制作系统盘备份。 切换操作系统会清除系统盘数据，建议制作系统盘备份。 为防止变更规格后系统盘数据丢失，建议制作系统盘快照。

本文档为制作Windows系统私有镜像指导手册的步骤1,准备Windows系统虚拟机环境。 操作场景 制作Windows操作系统的私有镜像，首先需要基于对应版本的原始iso镜像文件，创建出对应版本的Windows虚拟机环境。 通常制作镜像的过程需要基于您本地的电脑或服务器启动Windows虚拟机，因此您在这个过程，在此过程中，您本地的电脑即是承载Windows虚拟机的宿主机。 制作工具 为了使您的私有镜像更好地适用于弹性云主机，本文目标为创建出格式为qcow2的私有镜像，因此推荐您使用Linux操作系统，并安装QEMU和Libvirt作为创建工具。 本文下方的示例中所使用的代码，将以Fedora 40 (Workstation Edition)版本的Linux操作系统作为宿主机，并安装QEMU和Libvirt作为安装工具。 说明 如果您的本地电脑为Windows或者MacOS，建议您通过虚拟化软件启动一台Linux虚拟机，作为创建Windows虚拟机的宿主机。 安装QEMU和Libvirt 在Fedora 40 (Workstation Edition)操作系统中，打开终端，将以下命令一次性粘贴到终端中，并执行回车。 可本机备份后清除此类 ks 文件。 rm f /root/ks.cfg 配置 QEMU 和 libvirt。 dnf install y @virtualization qemusystemaarch64 qemusystemloongarch64 telnet vim dnf autoremove y dnf group remove y LibreOffice 配置 QEMU 和 libvirt。 qemuconfig'/etc/libvirt/qemu.conf' [ ! f "${qemuconfig}.bak" ] && cp "$qemuconfig" "${qemuconfig}.bak" sed i 's/^

本文介绍如何卸载本地机器的备份客户端。 操作场景 云备份服务需要搭配备份客户端一同使用，当不再需要备份客户端时，您可以卸载已安装的客户端。 前提条件 已安装客户端且该客户端不在使用中。 操作步骤 本地客户端卸载 1.Linux系统（包含Centos、Ubuntu、Kylin） a.登录Linux服务器 b.切换为root账号 c.执行 /opt/cstor/cbr/ctyuncbrclient/scripts/cbruninstall.sh 脚本卸载备份客户端 d.卸载完成后，本地客户端状态变为“已失联”，当确认不再需要此本地客户端记录及其相关备份数据时，可点击“操作>更多>删除备份资源”进行此本地客户端记录及其相关备份数据的删除。 2.Windows系统 a.登录Windows主机。 b.在系统设置的“应用与功能”列表中找到“ctyuncbrclient”，点击“卸载”。 c.在卸载向导窗口中，点击“是”，当系统显示卸载成功的弹窗时，即代表卸载完成。 d.卸载完成后，本地客户端状态变为“已失联”，当确认不再需要此本地客户端记录及其相关备份数据时，可点击“操作>更多>删除备份资源”进行此本地客户端记录及其相关备份数据的删除。

本节描述了弹性云主机的优势。 弹性云主机可以根据业务需求和伸缩策略，自动调整计算资源。您可以根据自身需要自定义服务器配置，灵活地选择所需的内存、CPU、带宽等配置，帮助您打造可靠、安全、灵活、高效的应用环境。 稳定可靠 丰富的磁盘种类 根据IO性能划分云硬盘的磁盘类型，您可根据应用程序要求选择您所需的云硬盘。 普通IO云硬盘：安全、可靠、可弹性扩展，适用于大容量、读写速率要求不高、事务性处理较少的应用场景。 高IO云硬盘：高性能、高扩展、高可靠，适用于性能相对较高，读写速率要求高，有实时数据存储需求应用场景。 通用型SSD：高性价比，适用于高吞吐、低时延的企业办公。 超高IO云硬盘：低时延、高性能，适用于高性能，高读写速率要求，读写密集型应用场景。 极速型SSD：采用了结合全新低时延拥塞控制算法的RDMA技术，适用于需要超大带宽和超低时延的应用场景。 高数据可靠性 基于分布式架构的，可弹性扩展的虚拟块存储服务；具有高数据可靠性，高I/O吞吐能力，能够保证任何一个副本故障时快速进行数据迁移恢复，避免单一硬件故障造成数据丢失。 支持云主机和云硬盘的备份及恢复 可预先设置好自动备份策略，实现在线自动备份。也可以根据需要随时通过控制台或API，备份云主机和云硬盘指定时间点的数据。

日志采集器在机器上的安装位置？ 云主机：登录云主机执行以下命令，在进程信息中可查看采集器安装路径。 systemctl status lmtagent 云容器引擎：执行以下命令，在进程信息中可查看采集器安装路径。 ps efgrep lmtagent 如何在容器集群中部署日志采集插件？ 需要再容器集群中安装ctglogoperator插件，安装步骤详情请查看云容器引擎用户指南插件市场。 使用采集器过程中，CPU占用较高怎么处理？ 若在使用采集器过程中，服务器的CPU占用较高，请确认您在云日志服务控制台中配置的日志采集路径下是否有大量的日志文件，若存在大量文件，建议定时清理，以减少采集器在收集日志过程中带来的系统资源占用。 针对云容器引擎场景，如果要采集的日志量很大或者有突发流量，v2.0.0及以下版本，会有资源超限保护策略，会触发采集pod重启，如果采集日志量超过2M/s，强烈建议调整默认资源限制到2C2G或者更高，调整入口：云容器引擎控制台 【选择对应集群】 插件 插件实例 找到 ctglogoperator，点击右侧更新，修改如下配置部分后，点击确定保存即可。 将以下配置部分： resources: limit: cpu: "1000m" memory: "1024Mi" request: cpu: "10m" memory: "200Mi" selfMonitor: cpuUsageLimit: 10 memUsageLimit: 1000 修改为： 改成 resources: limit: cpu: "2000m" memory: "2048Mi" request: cpu: "10m" memory: "200Mi" selfMonitor: cpuUsageLimit: 10 memUsageLimit: 2000

kubectl get pod NAME READY STATUS RESTARTS AGE csisnapshotupdatercronjob17580978006hjd9 0/1 Completed 0 9m csistorplugincontroller79df7bf49cjpm7m 4/4 Running 0 11m csistorpluginnode7l8qx 2/2 Running 0 11m csistorpluginnodem45dm 2/2 Running 0 11m snapshotcontroller0 1/1 Running 0 11m docker私仓导入镜像的方式 若节点数量较多，可以使用私仓方式安装HBlock CSI插件，避免在Kubernetes的所有节点上都导入插件。用户可先将插件镜像推送到私仓中，修改插件YAML文件的image地址为私仓中镜像地址，执行安装脚本即可完成安装。 在集群中任意一台服务器上执行下面的操作（以1.6.1的X86版本为例）： 1. 解压安装包。 plaintext unzip storcsidriver1.6.1x64.zip 2. 导入插件镜像。 plaintext cd storcsidriver1.6.1x64 docker load < storcsidriver.tar 3. 推送镜像到私仓。 plaintext docker tag storcsidriver:1.6.1 xxx.xxx.xxx.xxx:port/storcsidriver:1.6.1 docker push xxx.xxx.xxx.xxx:port/storcsidriver:1.6.1 其中，xxx.xxx.xxx.xxx:port为私仓地址。 4. 查看私仓。 plaintext cat /etc/docker/daemon.json 5. 修改YAML镜像拉取地址。 修改deploy/csistorpluginnode.yaml文件中storplugin对应image的value为xxx.xxx.xxx.xxx:port/storcsidriver:1.6.1。 plaintext volumeMounts: mountPath: /csi name: socketdir mountPath: /registration name: registrationdir name: storpluginnode

并行文件服务HPFS广泛应用于多种场景，本文带您更快了解经典应用场景。 场景一：自动驾驶训练 场景说明 自动驾驶的每一个业务阶段都会涉及到AI算法和算力的参与，机器视觉、深度学习、传感器技术等均在自动驾驶领域发挥着重要的作用。随着自动驾驶的快速发展，现在每台测试车每天将产生数十TB数据，随之而来就是要面临诸多存储挑战： 海量小文件元数据压力大 存储性能局限 数据管理困难 产品优势 并行文件服务HPFS通过可扩展的元数据架构可支持百亿级别的文件数量，同时提升海量文件并发访问的性能，满足自动驾驶海量数据处理的业务需求和性能要求，充分适配上层AI算力。 场景二：影视渲染 场景说明 在渲染场景中，设计师将素材上传至工作室挂载的并行文件系统中，即可给渲染所需的数百台高性能计算服务器提供并发的数据访问，极大提升整体工作效率。 产品优势 并行文件 HPFS 为影视渲染场景提供最高千万级IOPS和TBps吞吐，支持在线扩容，业务无需中断。 影视渲染中，文件系统主要用于多个客户端中共享文件场景，客户端的应用程序并发访问文件是高频操作，并行文件服务HPFS通过分布式文件锁保证文件一致性，同时大幅提高多客户端读写同一文件的性能。 场景三：AI训练与推理

本节介绍了企业交换机的基本概念，以便于您更好地理解企业交换机服务。 企业交换机（Enterprise Switch，简称ESW）可以在虚拟私有云（Virtual Private Cloud, VPC）内提供大二层互联等增强网络转发能力，助力企业灵活构建大规模、高性能、高可靠的云上/云下网络。 企业交换机当前仅支持二层连接网关特性，该特性提供一种虚拟隧道网关，可基于虚拟专用网络（Virtual Private Network, VPN）或者云专线（Direct Connect, DC）建立云上与云下之间的二层网络，解决云上和云下网络二层互通问题，允许您在不改变子网、IP规划的前提下将数据中心或私有云主机业务部分迁移上云。 您通过VPN或者云专线连接云上和云下互联网数据中心（Internet Data Center, IDC），此时建立的是三层网络，要求云上与云下子网网段不能重叠。 当云下IDC与云上VPC子网网段重叠，并且需要云上与云下服务器在该重叠子网网段内通信时，您需要建立二层网络，企业交换机可以帮助您实现该需求。 企业交换机作为VPC的隧道网关，与云下IDC侧隧道网关对应，基于VPN或者云专线三层网络，在VPC与云下IDC之间建立二层网络，组网示意图如下图所示，您需要将VPC子网接入到企业交换机中，并指定企业交换机与IDC侧的隧道网关建立连接，使VPC子网与IDC侧子网建立二层通信。

本节介绍如何处理暴力破解告警事件。 暴力破解是一种常见的入侵攻击行为，攻击者通常使用暴力破解的方式猜测远程登录的用户名和密码，一旦破解成功，即可实施攻击和控制，严重危害资产的安全。 态势感知联动企业主机安全服务（HSS），接收HSS检测到的暴力破解行为，集中呈现和管理告警事件，提升运维效率。 处理告警事件 HSS通过暴力破解检测算法和全网IP黑名单，若发现暴力破解主机的行为，对发起攻击的源IP进行拦截，并上报告警事件。 当接收到来源于HSS的告警事件时，请登录HSS管理控制台确认并处理告警事件。 若您的主机被爆破成功，检测到入侵者成功登录主机，账户下所有云服务器可能已被植入恶意程序，建议参考如下措施，立即处理告警事件，避免进一步危害主机的风险。 1. 请立即确认登录主机的源IP的可信情况。 2. 请立即修改被暴力破解的系统账户口令。 3. 请立即执行检测入侵风险账户，排查可疑账户并处理。 4. 请及时执行恶意程序云查杀，排查系统恶意程序。 若您的主机被暴力破解，攻击源IP被HSS拦截，请参考如下措施，加固主机安全。 1. 请及时确认登录主机的源IP的可信情况。 2. 请及时登录主机系统，全面排查系统风险。 3. 请根据实际需求升级HSS防护能力。 4. 请根据实际情况加固主机安全组、防火墙配置。

本文进行了云防火墙（原生版）产品的术语说明。 VPC 虚拟私有云（Virtual Private Cloud，VPC），为云服务器、云容器、云数据库等云上资源构建隔离、私密的虚拟网络环境。您可以完全掌控自己的专有网络，VPC丰富的功能帮助您灵活管理云上网络，包括创建子网、设置安全组和网络ACL、管理路由表、申请弹性公网IP和带宽等。 互联网边界防火墙 互联网边界防火墙主要用于检测互联网和云上资产间的通信流量，也称为南北向流量。 访问控制 是流量过滤规则的集合，通过防火墙的访问控制功能可以对内网的计算机进行访问限制，比如限制访问的Internet网站、限制使用的端口号，这样可以保证局域网的安全性。 黑名单规则 访问控制规则的一种。配置成功后，可对配置地址的入或出通信流量进行阻断。 白名单规则 访问控制规则的一种。配置成功后，可对配置地址的入或出通信流量进行放行。 五元组 包括源IP地址、目的IP地址、协议号、源端口、目的端口。 入侵防御 主动发现外部入侵与恶意外联等未知风险，在检测到可疑事件时，提供实时的防护与告警。如果检测到攻击，入侵防御会在攻击扩散到网络的其他地方之前阻止该恶意通信。 主动外联访问 主动外联访问是指云主机主动访问外部IP的行为，通过对主动外联访问防护，可以帮助您有效管理和控制主机外联行为。

本节介绍什么是Web应用防火墙以及其防护原理。 什么是Web应用防火墙 Web应用防火墙（Web Application Firewall，WAF），通过对HTTP(S)请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。 开通Web应用防火墙后，在WAF管理控制台将网站添加并接入WAF，即可启用Web应用防火墙。启用之后，您网站所有的公网流量都会先经过Web应用防火墙，恶意攻击流量在Web应用防火墙上被检测过滤，而正常流量返回给源站IP，从而确保源站IP安全、稳定、可用。 防护原理 申请WAF后，在WAF管理控制台将网站添加并接入WAF。网站成功接入WAF后，网站所有访问请求将先流转到WAF，WAF检测过滤恶意攻击流量后，将正常流量返回给源站，从而确保源站安全、稳定、可用。 网站接入WAF防护原理 流量经WAF返回源站的过程称为回源。WAF通过回源IP代替客户端发送请求到源站服务器，接入WAF后，在客户端看来，所有的目标IP都是WAF的IP，从而隐藏源站IP。 回源IP

数据盘空间不足时如何解决 方案一：清理镜像 您可以执行以下命令清理未使用的Docker镜像： docker system prune a 说明 该命令会把暂时没有用到的Docker镜像都删除，执行命令前请确认。 方案二：扩容磁盘 步骤 1 在EVS界面扩容数据盘。 步骤 2 登录CCE控制台，进入集群，在左侧选择“节点管理”，单击节点后的“同步云服务器”。 步骤 3 登录目标节点。 步骤 4 使用lsblk命令查看节点块设备信息。 这里存在两种情况，根据容器存储Rootfs而不同。 Overlayfs，没有单独划分thinpool，在dockersys空间下统一存储镜像相关数据。 lsblk NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINTsda 8:0 0 50G 0 disk└─sda1 8:1 0 50G 0 part /sdb 8:16 0 200G 0 disk├─vgpaasdockersys 253:0 0 90G 0 lvm /var/lib/docker docker使用的空间 └─vgpaaskubernetes 253:1 0 10G 0 lvm /mnt/paas/kubernetes/kubelet kubernetes使用的空间 在节点上执行如下命令，将新增的磁盘容量加到dockersys盘上。 pvresize /dev/sdblvextend l+100%FREE n vgpaas/dockersysresize2fs /dev/vgpaas/dockersys Devicemapper，单独划分了thinpool存储镜像相关数据。 lsblk NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINTsda 8:0 0 50G 0 disk└─sda1 8:1 0 50G 0 part /sdb 8:16 0 200G 0 disk├─vgpaasdockersys 253:0 0 18G 0 lvm /var/lib/docker ├─vgpaasthinpooltmeta 253:1 0 3G 0 lvm │ └─vgpaasthinpool 253:3 0 67G 0 lvm

工作原理 Nginx Ingress由资源对象Ingress、Ingress控制器、Nginx三部分组成，Ingress控制器用以将Ingress资源实例组装成Nginx配置文件（nginx.conf），并重新加载 Nginx使变更的配置生效。当它监听到Service中Pod变化时通过动态变更的方式实现Nginx上游服务器组配置的变更，无须重新加载Nginx进程。工作原理如下图所示。 Ingress：一组基于域名或URL把请求转发到指定Service实例的访问规则，是Kubernetes的一种资源对象，Ingress实例被存储在对象存储服务etcd中，通过接口服务被实现增、删、改、查的操作。 Ingress控制器（Ingress controller）：用以实时监控资源对象Ingress、Service、Endpoint、Secret（主要是TLS证书和Key）、Node、ConfigMap的变化，自动对Nginx进行相应的操作。 Nginx：实现具体的应用层负载均衡及访问控制。 Nginx Ingress工作原理 使用约束 仅支持在1.15及以上版本的CCE集群中安装此插件。 通过api调接口创建的Ingress annotation必须添加kubernetes.io/ingress.class: "nginx"，如果是对接老的Ingress，annotation需添加为kubernetes.io/ingress.class: "cce"。 独享型ELB规格必须支持网络型（TCP/UDP），且网络类型必须支持私网（有私有IP地址）。 前提条件 在创建容器工作负载前，您需要存在一个可用集群。若没有可用集群，请参照“购买CCE集群”中的步骤创建。

本节介绍云影音的常见问题。 云影音是什么？和我在视频网站看视频有什么区别？ 云影音是一种基于云存储的在线播放服务。您无需下载巨大的视频文件到本地，也无需担心手机性能不足无法解码高清视频，即可在任意设备上流畅播放视频库。 我的手机很旧/配置不高，能流畅播放高清视频吗？ 绝大多数设备都能播放。因为视频的解码压力主要在云端服务器完成，您的手机只负责接收和显示视频画面。 使用云影音需要怎样的网络条件？会消耗多少流量？ 网络建议：为了获得最佳体验，我们建议在WiFi 5Ghz频段或5G移动网络环境下使用。 速率要求：建议下行速率稳定在1015Mbps以上，即可享受1080P高清画质；播放4K原画质建议30Mbps以上。 流量消耗：以高清画质为例，每小时大约会消耗1.5GB左右的流量。请注意，在移动网络下观看会消耗大量流量，建议您留意套餐余额。 是需要付费才能观看的吗？ 某些收费视频内容需要付费观看，前期您可以参与相关免费体验以及优惠活动进行体验购买。 如何知道我的云影音权益有效期？ 在云智手机客户端个人中心云影音权益板块中查询云影音相关权益的订购、领取以及有效期等详情。 对云影音的使用、相关权益有问题该如何咨询？ 详情咨询4008689689，工作时间为每日9:0021:00。

说明：本章节会介绍关系型数据库的定义以及包含哪些数据库引擎 关系型数据库（Relational Database Service，简称RDS）是一种基于云计算平台的即开即用、稳定可靠、弹性伸缩、便捷管理的在线关系型数据库服务。专属云关系型数据库目前支持以下引擎： MySQL PostgreSQL 关系型数据库服务具有完善的性能监控体系和多重安全防护措施，并提供了专业的数据库管理平台， 让用户能够在云中轻松的进行设置和扩展关系型数据库。通过关系型数据库服务的管理控制台，用户几乎可以执行所有必需任务而无需编程，简化运营流程，减少日常运维工作量，从而专注于开发应用和业务发展。 专属云数据库MySQL 专属云（RDSMySQL）是在物理上隔离的专属虚拟化资源池上搭建的RDS服务，专属云内，用户独享专用的服务器/集群，可选择独享存储/网络资源，并可在管理控制台统一管理。 MySQL是目前最受欢迎的开源数据库之一，其性能卓越，搭配LAMP（Linux + Apache + MySQL + Perl/PHP/Python），成为WEB开发的高效解决方案。 云数据库拥有即开即用、稳定可靠、安全运行、弹性伸缩、轻松管理、经济实用等特点。 架构成熟稳定，支持流行应用程序，适用于多领域多行业支持各种WEB应用，成本低，中小企业首选。 管理控制台提供全面的监控信息，简单易用，灵活管理，可视又可控。 随时根据业务情况弹性伸缩所需资源，按需开支，量身订做。

本章节会介绍如何对数据库实例绑定公网IP。 操作场景 关系型数据库实例创建成功后，默认未开启公网访问功能（即未绑定弹性公网IP）。关系型数据库服务支持用户绑定弹性公网IP，在公共网络来访问数据库实例，绑定后也可根据需要解绑。 注意事项 您需要设置安全组，开通需访问数据库的IP地址和端口，才可以访问数据库实例。在访问数据库前，您需要将访问数据库的IP地址，或者IP段加安全组入方向的访问规则，操作请参见设置安全组规则。 公网访问会降低实例的安全性，请谨慎选择。为了获得更快的传输速率和更高的安全级别，建议您将应用迁移到与您的关系型数据库在同一区域的弹性云服务器上。 绑定弹性公网IP 步骤 1 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页面。 步骤 2 在左侧导航栏，单击“连接管理”，单击“绑定弹性公网IP”。 步骤 3 在弹出框的弹性公网IP地址列表中，选择目标弹性公网IP，单击“确定”，提交绑定任务。 如果没有可用的弹性公网IP，您可单击“查看弹性公网IP”，获取弹性公网IP。 步骤 4 在“连接管理”页面，查看绑定成功的弹性公网IP。 您也可以在“任务中心”页面，查看“实例绑定弹性公网IP”任务的执行进度及结果。

接口功能介绍 基线检查项白名单列表分页查询 接口约束 此功能为收费功能。确认已经购买系统配额，并且开启基线扫描配置。如果没有购买配额，可按照页面提示进行购买。如果没有开启防护，请在服务器列表页开启机器防护 URI POST /v1/sca/check/whiteList// 路径参数 参数 是否必填 参数类型 说明 示例 下级对象 pageSize 是 Integer currentNum 是 Integer Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 searchname 否 String 待搜索的基线名称 test 响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Object 返回对象 returnObj traceId String traceId asaadasd11111 statusCode String 状态码 200成功 200 表 returnObj 参数 参数类型 说明 示例 下级对象 total Integer 总数 100 list Array of Objects 结果集 list pageNum Integer 当前页 1 pageSize Integer 每页的数量 10 表 list 参数 参数类型 说明 示例 下级对象 id Integer id 1111 checkid Integer 检测项id 1111 osType String 操作系统类型 Linux/Windows Linux createtime String 创建时间 20200101 00:00:00 effectScope String 作用范围 ALL全部 OPTIONAL自选机器 ALL agentGuid String 机器guid，多个机器用英文逗号分隔 testagentguid,testagentguid1 description String 描述 描述 name String 基线名称 Unix系统基线检测 scaEnName String 基线英文名称 System audit for Unix based systems enName String 检测项英文名称 SSH加固：确保SSH协议设置为2 zhName String 检测项中文名称 SSH加固：确保SSH协议设置为2 custName String 主机名称 test displayName String 实例名称 test hostName String 主机名称 test privateIp String 主机私网ip 192.168.0.1 publicIp String 主机公网ip 192.168.0.1 agentGuidList Array of Strings count Integer

接口功能介绍 用户执行基线检测后，展示具体基线包含的检测项详情信息（检测项描述、修复建议、检查文件、检测项标题）。 接口约束 此功能为收费功能。确认已经购买系统配额，并且开启基线扫描配置。如果没有购买配额，可按照页面提示进行购买。如果没有开启防护，请在服务器列表页开启机器防护 URI GET /v1/sca/event/checkDetail/ 路径参数 参数 是否必填 参数类型 说明 示例 下级对象 baseScaId 是 String Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 无 响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Object 返回对象 returnObj traceId String traceId asaadasd11111 statusCode String 状态码 200成功 200 表 returnObj 参数 参数类型 说明 示例 下级对象 result String 检测结果 pass通过 failed未通过 invalid无效 pass remediation String 修复建议 修复建议 registry Array of Strings 检查项注册表 [HKEYLOCALMACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstall{EA0A0E0A0A0A0A0A0A0A0A0A0A0A0A0A}] reason String 检查失败原因 检查失败原因 file Array of Strings 检查文件 [C:WindowsSystem32driversetchosts] id String 检查项id 1 title String 检查项标题 检查项标题 status String 检查项状态 pass compliance Object 合规信息 compliance directory Array of Strings 检查项目录 rationale String 检查提示 检查提示 description String 描述 描述 references String 引用信息 引用信息 severity Integer 风险等级 1低危 2中危 3高危 1 表 compliance 参数 参数类型 说明 示例 下级对象 pciDss String PCIDSS nist80053 String NIST80053 NIST80053 cisCsc String CISCSC CISCSC

本文为您介绍分布式消息服务MQTT的快速入门创建实例。 实例介绍 MQTT实例订购支持用户自定义规格和自定义特性，采用物理隔离的方式部署。租户独占MQTT实例，可根据业务需要可定制相应规格的MQTT实例。在新的资源池节点上，还支持选择主机类型和存储规格等丰富用户选项。 操作步骤 1、在产品详情页点击立即开通按钮，或者进入消息管理控制台创建实例，进入订购分布式消息MQTT页面。 2、 创建实例，注意选择产品规格。 （1）填写实例名称，长度4~40个字符，大小写字母开头，只能包含大小写字母、数字及分隔符()。 （2）选择计费模式：包年包月/按需计费，两种模式说明参见计费模式。 （3）购买时长按照计费模式选择变化： 计费模式为包年包月，可选择购买时长16个月、13年。该模式提供自动续期功能，勾选后可以自动续期购买时长：16个月、13年。 计费模式为按需计费，则该选项隐藏无需选择。 （4）部署方式有单可用区和多可用区两个选项，目前仅支持单可用区和3可用区部署,单可用区部署请选中任意一个AZ；多可用区部署请选中3个AZ，系统会自动将Broker节点平均分配至各可用区。 （5）设置节点数，可选择3/5/7/9。MQTT 的节点数是指MQTT 集群中的节点数量。在MQTT 集群中，可以有多个节点组成一个集群，每个节点都是一个独立的MQTT 服务器实例。 （6）下拉选择主机类型，可选择通用型和计算增强型。通用型云主机共享宿主机的CPU资源，主要提供基本水平的vCPU性能、平衡的计算、内存和网络资源，具有较高性价比，支持通用的业务运行。计算增强型云主机独享宿主机的CPU资源，实例间无CPU争抢，并且没有进行资源超配，同时搭载全新网络加速引擎，实现接近物理服务器的强劲稳定性能。 （7）选择实例规格，分布式消息服务MQTT提供通用型和计算增强型各3类规格，各规格详细说明参见弹性云主机规格。 （8）选择存储空间，包括磁盘类型和空间。 磁盘类型提供高IO/普通IO/超高IO三类。普通IO适用于大容量、读写速率中等、事务性处理较少的应用场景。高IO：适用于主流的高性能、高可靠应用场景。超高IO：适用于超高IOPS、超大带宽需求的读写密集型应用场景。了解更多磁盘类型说明参见云硬盘规格。 磁盘空间以100G起步，可以以100倍数增加磁盘空间。 （9）选择已有虚拟私有云，若无虚拟私有云，点击创建跳转到虚拟私有云页面新增，了解更多内容参见虚拟私有云。 （10）选择已有子网，若无子网，点击创建跳转到子网页面新增，了解更多内容参见虚拟私有云子网管理 创建子网。 （11）选择已有安全组，若无安全组，点击创建跳转到安全组页面新增，了解更多内容参见虚拟私有云安全组 创建安全组。 3、 填写完上述信息后，单击“下一步”，进入费用确认页面。 4、 确认实例信息无误后，提交请求。 5、 在实例列表页面，查看MQTT实例是否创建成功。创建实例大约需要3到15分钟，此时实例状态为“创建中”。

本节介绍了分布式消息服务RabbitMQ产品实例如何购买。 实例介绍 RabbitMQ实例订购支持用户自定义规格和自定义特性，采用物理隔离的方式部署。租户独占RabbitMQ实例，可根据业务需要可定制相应规格的RabbitMQ实例。在新的资源池节点上，还支持选择主机类型和存储规格等丰富用户选项。 操作步骤 1. 登录管理控制台。 2. 进入RabbitMQ管理控制台。 3. 在管理控制台右上角单击“地域名称”，选择区域。此处请选择与您的应用服务相同的区域。 4. 点击“购买实例”跳转到购买页面，根据页面订购说明进行产品开通。 实例规格选择说明 节点可选择3节点、5节点、7节点、9节点，实例规格可选择4C8G、8C16G、16C32G。 存储类型可选择普通IO（SATA）、高IO（SAS）、超高IO（SSD）。 （1）填写实例名称，长度在 4 到 64个字符，必须以字母开头，不区分大小写，可以包含字母、数字、中划线或下划线，不能包含其他特殊字符。 （2）选择引擎类型，默认选择云原生引擎，海量消息堆积能力，支持更多连接和队列数，稳定性高。也可选择rabbitmq引擎，完全支持开源RabbitMQ生态，功能完备。 （3）选择计费模式：包年包月/按需计费，两种模式说明参见计费模式。 （4）购买时长按照计费模式选择变化： 计费模式为包年包月，可选择购买时长16个月、13年。该模式提供自动续期功能，勾选后可以自动续期购买时长：16个月、13年。 计费模式为按需计费，则该选项隐藏无需选择。 （5）部署方式有单可用区和多可用区两个选项，目前仅支持单可用区和3可用区部署,单可用区部署请选中任意一个AZ；多可用区部署请选中3个AZ，系统会自动将Broker节点平均分配至各可用区。 （6）设置节点数，可选择3/5/7/9。RabbitMQ 的节点数是指 RabbitMQ 集群中的节点数量。在 RabbitMQ 集群中，可以有多个节点组成一个集群，每个节点都是一个独立的 RabbitMQ 服务器实例。 （7）下拉选择主机类型，可选择通用型和计算增强型。通用型云主机共享宿主机的CPU资源，主要提供基本水平的vCPU性能、平衡的计算、内存和网络资源，具有较高性价比，支持通用的业务运行。计算增强型云主机独享宿主机的CPU资源，实例间无CPU争抢，并且没有进行资源超配，同时搭载全新网络加速引擎，实现接近物理服务器的强劲稳定性能。 （8）选择实例规格，分布式消息服务RabbitMQ提供通用型和计算增强型各3类规格，各规格详细说明参见弹性云主机规格。 （9）选择存储空间，包括磁盘类型和空间。 磁盘类型提供高IO/超高IO三类。普通IO适用于大容量、读写速率中等、事务性处理较少的应用场景。高IO：适用于主流的高性能、高可靠应用场景。超高IO：适用于超高IOPS、超大带宽需求的读写密集型应用场景。了解更多磁盘类型说明参见云硬盘规格。 磁盘空间以100G起步，可以以100倍数增加磁盘空间。 （10）选择已有虚拟私有云，若无虚拟私有云，点击创建跳转到虚拟私有云页面新增，了解更多内容参见虚拟私有云。 （11）选择已有子网，若无子网，点击创建跳转到子网页面新增。 （12）选择已有安全组，若无安全组，点击创建跳转到安全组页面新增。

参数 说明 增量包类型 选择批量数据迁移增量包。 计费方式 选择按需计费。 可用区 请根据实际需求选择区域和可用区。 工作空间 选择需要使用批量数据迁移增量包的工作空间。 例如在DataArts Studio实例test的A工作空间中按需创建批量数据迁移的增量包，这里工作空间选择A。 创建成功后，即可通过A工作空间查看到已经创建的批量数据迁移集群。 集群名称 自定义批量数据迁移集群名称。 实例类型 目前批量数据迁移集群支持以下规格供用户选择： cdm.medium：4核CPU、8G内存的虚拟机，最大带宽/基准带宽为1.5/0.4Gbps，能够并发执行的作业个数为20，适合单张表规模<1000万条的场景。 cdm.large：8核CPU、16G内存的虚拟机，最大带宽/基准带宽为3/0.8Gbps，能够并发执行的作业个数为30，适合单张表规模≥1000万条的场景。 cdm.xlarge：16核CPU、32G内存的虚拟机，最大带宽/基准带宽为10/4Gbps，能够并发执行的作业个数为100，适合使用10GE高速带宽进行TB以上的数据量迁移。 虚拟私有云 批量数据迁移集群所属VPC、子网、安全组，需确保批量数据迁移集群与待连接的数据源能正常通信。 用户可以根据批量数据迁移迁移的数据源端、目的端所处网络进行选择： 如果批量数据迁移集群与待连接的数据源所属不同的VPC，或者待连接的为本地数据源时，批量数据迁移集群需要绑定EIP，通过公网通信。 如果待连接的数据源为云上服务，则推荐批量数据迁移集群的网络配置与该云服务一致，此时批量数据迁移集群不用绑定EIP，通过内网通信。 如果待连接的数据源为云上服务，批量数据迁移与它在同一个VPC但所属不同子网，则可以通过配置安全组规则来使批量数据迁移集群与云服务间的网络互通。VPC、子网、安全组的详细操作，请参见《 子网 DataArts Studio实例中的数据集成CDM集群所属的VPC。 VPC即虚拟私有云，是通过逻辑方式进行网络隔离，提供安全、隔离的网络环境。 如果DataArts Studio实例或CDM集群需连接云上服务（如DWS、MRS、RDS等），则您需要确保CDM集群与该云服务网络互通。 同区域情况下，同虚拟私有云、同子网、同安全组的不同实例默认网络互通，如果同虚拟私有云而子网或安全组不同，还需配置路由规则及安全组规则。 说明 目前CDM实例创建完成后不支持切换虚拟私有云，请谨慎选择所属虚拟私有云。 安全组 DataArts Studio实例中的数据集成CDM集群所属的安全组。 安全组是一组对弹性云服务器的访问规则的集合，为同一个VPC内具有相同安全保护需求并相互信任的弹性云服务器提供访问策略。 如果DataArts Studio实例或CDM集群需连接云上服务（如DWS、MRS、RDS等），则您需要确保CDM集群与该云服务网络互通。 同区域情况下，同虚拟私有云、同子网、同安全组的不同实例默认网络互通，如果同虚拟私有云而子网或安全组不同，还需配置路由规则及安全组规则。 说明 目前CDM实例创建完成后不支持切换安全组，请谨慎选择所属安全组。

本节介绍了初始化Windows数据盘（Windows 2008）的相关内容。 操作场景 本文以云主机的操作系统为“Windows Server 2008 R2 Enterprise 64bit”为例，提供磁盘的初始化操作指导。 MBR格式分区支持的磁盘最大容量为2 TB，GPT分区表最大支持的磁盘容量为18 EB，因此当为容量大于2 TB的磁盘分区时，请采用GPT分区方式。具体操作请参见“初始化容量大于2TB的Windows数据盘（Windows 2008）”。关于磁盘分区形式的更多介绍，请参见“初始化数据盘场景及磁盘分区形式介绍”。 不同云主机的操作系统的格式化操作可能不同，本文仅供参考，具体操作步骤和差异请参考对应的云主机操作系统的产品文档。 前提条件 已挂载数据盘至云主机，且该数据盘未初始化。 已登录云主机。 弹性云主机请参见《弹性云主机用户指南》。 物理机服务器请参见《物理机用户指南》。 操作指导 1.在云主机桌面，选择“开始”，右键单击后在菜单列表中选择“计算机”，选择“管理”。 弹出“服务器管理”窗口。 2.在左侧导航树中，选择“存储 > 磁盘管理”。 进入“磁盘管理”页面。 若如图1，新挂载磁盘为“脱机”状态，请执行3。 若如图4，直接弹出“初始化磁盘”对话框，执行5。 图 磁盘管理 3.在右侧窗格中出现磁盘列表，在磁盘1区域，右键单击后在菜单列表中选择“联机”，进行联机。 图 联机 说明 若新增磁盘处于脱机状态，需要先联机然后进行初始化。 4.联机后，磁盘1由“脱机”状态变为“没有初始化”，右键单击在菜单列表中选择“初始化磁盘”。如下图所示。 图 初始化磁盘 5.在“初始化磁盘”对话框中显示需要初始化的磁盘，选中“MBR（主启动记录）”或者“GPT (GUID 分区表)”，单击“确定”，如下图所示。 图 未分配磁盘 注意 MBR支持的磁盘最大容量为2 TB，GPT最大支持的磁盘容量为18 EB，当前数据盘支持的最大容量为32 TB，如果您需要使用大于2 TB的磁盘容量，分区形式请采用GPT。 当磁盘已经投入使用后，此时切换磁盘分区形式时，磁盘上的原有数据将会清除，因此请在磁盘初始化时谨慎选择磁盘分区形式。 6.右键单击磁盘上未分配的区域，选择“新建简单卷”，如下图所示。 图 新建简单卷 7.弹出“新建简单卷向导”对话框，根据界面提示，单击“下一步”。 图 新建简单卷向导 8.根据需要指定卷大小，默认为最大值，单击“下一步”。 图 指定卷大小 9.分配驱动器号，单击“下一步”。 图 分配驱动器号和路径 10.勾选“按下列设置格式化这个卷”，并根据实际情况设置参数，格式化新分区，单击“下一步”完成分区创建。 图 格式化分区 图 完成分区创建 注意 不同文件系统支持的分区大小不同，请根据您的业务需求选择合适的文件系统。 11.单击“完成”完成向导。需要等待片刻让系统完成初始化操作，当卷状态为“状态良好”时，表示初始化磁盘成功，如下图所示。 图 初始化磁盘成功

检查项 检查内容 logslaveupdates参数检查 如果源库为集群的从节点，检查源库的logslaveupdates参数是否设置为ON。 存储引擎检查 检查源库中待迁移的表的存储引擎。 待迁移表主键检查 检查待迁移表是否都存在主键。 源库binlog存在性检查 查看源库的binlog文件是否被误删除。 源库binlog影像类型检查 查看源库的binlogrowimage参数是不是FULL。 源库binlog是否开启检查 查看源库的logbin参数是不是ON。 源库binlog模式检查 查看源库的binlogformat参数是不是ROW。 源库binlog保留时间检查 检查源库的binlog保留时间是否满足要求。 源库用户权限检查 检查源库用于DTS任务的用户是否具有相应的权限。 源库连通性检查 检查数据传输服务能否连通源数据库。 同名对象存在性检查 检查目标库中是否存在和待迁移库同名的库，若存在，检查该库下面是否存在同名的表。 目标库用户权限检查 检查目标库用于DTS任务的用户是否具有相应的权限。 目标库连通性检查 检查数据传输服务器能否连通目标数据库。 源库和目标库时区一致性检查 检查源库和目标库的时区设置的值是否一致。

限制互联网访问 1. Linux服务器配置 创建自定义链： sudo iptables N ALLOWEDIPS 添加允许的IP（IP地址为示例，操作时需替换为实际IP地址）： sudo iptables A ALLOWEDIPS s 192.168.1.100 j ACCEPT sudo iptables A ALLOWEDIPS s 10.0.0.5 j ACCEPT sudo iptables A ALLOWEDIPS s 172.24.57.160 j ACCEPT sudo iptables A ALLOWEDIPS j RETURN 应用到SSH端口： sudo iptables A INPUT p tcp dport 22 j ALLOWEDIPS sudo iptables A INPUT p tcp dport 17477 j ALLOWEDIPS 此外，可参考上述命令关闭以下端口互联网访问或设置IP地址白名单：Telnet（23）、Windows文件共享（135、137、138、139、445）、Windows远程桌面（3389）、远程桌面控制（59005910）、数据库类端口（3306、5432、6379、27017）。 2. VPN接入的情况下配置 将OpenClaw Gateway绑定127.0.0.1，切勿直接绑定到0.0.0.0。 关闭18789端口： sudo ufw deny 18789 远程访问时强制使用VPN并启用Gateway认证（在openclaw.json中设置gateway.auth.mode: "token"及强令牌）。 开启详细日志 开启日志记录： openclaw gateway loglevel debug >> /var/log/openclaw.log 2>&1 文件系统访问控制 在Docker部署配置文件(dockercompose.yml)中，利用volumes参数将系统关键目录挂载为:ro（只读）模式，仅保留特定的/workspace为可写状态。 在宿主机系统层，通过chmod 700指令对私密数据目录实施强制访问控制： sudo chmod 700 /path/to/your/workspace

限制互联网访问 1. Linux服务器配置 创建自定义链： sudo iptables N ALLOWEDIPS 添加允许的IP（IP地址为示例，操作时需替换为实际IP地址）： sudo iptables A ALLOWEDIPS s 192.168.1.100 j ACCEPT sudo iptables A ALLOWEDIPS s 10.0.0.5 j ACCEPT sudo iptables A ALLOWEDIPS s 172.24.57.160 j ACCEPT sudo iptables A ALLOWEDIPS j RETURN 应用到SSH端口： sudo iptables A INPUT p tcp dport 22 j ALLOWEDIPS sudo iptables A INPUT p tcp dport 17477 j ALLOWEDIPS 此外，可参考上述命令关闭以下端口互联网访问或设置IP地址白名单：Telnet（23）、Windows文件共享（135、137、138、139、445）、Windows远程桌面（3389）、远程桌面控制（59005910）、数据库类端口（3306、5432、6379、27017）。 2. VPN接入的情况下配置 将OpenClaw Gateway绑定127.0.0.1，切勿直接绑定到0.0.0.0。 关闭18789端口： sudo ufw deny 18789 远程访问时强制使用VPN并启用Gateway认证（在openclaw.json中设置gateway.auth.mode: "token"及强令牌）。 开启详细日志 开启日志记录： openclaw gateway loglevel debug >> /var/log/openclaw.log 2>&1 文件系统访问控制 在Docker部署配置文件(dockercompose.yml)中，利用volumes参数将系统关键目录挂载为:ro（只读）模式，仅保留特定的/workspace为可写状态。 在宿主机系统层，通过chmod 700指令对私密数据目录实施强制访问控制： sudo chmod 700 /path/to/your/workspace

限制互联网访问 1. Linux服务器配置 创建自定义链： sudo iptables N ALLOWEDIPS 添加允许的IP（IP地址为示例，操作时需替换为实际IP地址）： sudo iptables A ALLOWEDIPS s 192.168.1.100 j ACCEPT sudo iptables A ALLOWEDIPS s 10.0.0.5 j ACCEPT sudo iptables A ALLOWEDIPS s 172.24.57.160 j ACCEPT sudo iptables A ALLOWEDIPS j RETURN 应用到SSH端口： sudo iptables A INPUT p tcp dport 22 j ALLOWEDIPS sudo iptables A INPUT p tcp dport 17477 j ALLOWEDIPS 此外，可参考上述命令关闭以下端口互联网访问或设置IP地址白名单：Telnet（23）、Windows文件共享（135、137、138、139、445）、Windows远程桌面（3389）、远程桌面控制（59005910）、数据库类端口（3306、5432、6379、27017）。 2. VPN接入的情况下配置 将OpenClaw Gateway绑定127.0.0.1，切勿直接绑定到0.0.0.0。 关闭18789端口： sudo ufw deny 18789 远程访问时强制使用VPN并启用Gateway认证（在openclaw.json中设置gateway.auth.mode: "token"及强令牌）。 开启详细日志 开启日志记录： openclaw gateway loglevel debug >> /var/log/openclaw.log 2>&1 文件系统访问控制 在Docker部署配置文件(dockercompose.yml)中，利用volumes参数将系统关键目录挂载为:ro（只读）模式，仅保留特定的/workspace为可写状态。 在宿主机系统层，通过chmod 700指令对私密数据目录实施强制访问控制： sudo chmod 700 /path/to/your/workspace

步骤二：新增扩展卷组的容量 1. 以root用户登录弹性云服务器。 2. 执行 vgdisplay 命令，查看系统中当前卷组的容量。具体回显如图所示： 可以看到，当前卷组容量“VG Size”为19.99 GiB。 3. 执行 fdisk l grep /dev/vd grep v vda 命令，查看磁盘并记录设备名称。具体回显如图所示： 可以看到弹性云主机上新挂载的磁盘，设备名称为“/dev/vdd”。 4. 执行pvcreate 磁盘设备名 命令，将新挂载的磁盘创建为物理卷。此处执行命令pvcreate /dev/vdd，具体回显如图所示： 5. 执行vgextend 卷组名称 物理卷名称 命令，添加物理卷到卷组中，对卷组进行扩容。此处执行命令vgextend vgdata /dev/vdd，具体回显如图所示： 6. 执行vgdisplay 命令，查看系统中卷组的详细信息。具体回显如图所示： 可以看到，卷组容量“VG Size”已经增加10GB。 7. 接下来可以使用新增的云硬盘来扩展逻辑卷的容量，具体操作可参见使用未分配容量扩展逻辑卷的容量。

IP地址分类 IP地址说明 示例 私有IP 您在VPC子网内创建弹性云主机时，系统会基于子网内的可用IP地址，给弹性云主机分配私有IP地址， 私有IP地址主要用于云内网络通信，不能访问Internet。 ECSA01的私有IP地址为172.16.0.84 ECSB01的私有IP地址为172.16.1.12 虚拟IP 虚拟IP是一个未分配给真实弹性云主机网卡的IP地址，可同时绑定至多台弹性云主机上。 虚拟IP结合keepalived，可以在主弹性云主机发生故障无法对外提供服务时， 动态将虚拟IP切换到备弹性云主机，继续对外提供服务，以此达到高可用性HA（High Availability）的目的。 虚拟IP（172.16.0.2）同时绑定至ECSA01和ECSA02， 结合keepalived可实现ECSA01和ECSA02的主备倒换。 弹性公网IP 弹性IP是云上资源访问Internet使用的IP地址。 在虚拟IP场景，您可以将弹性IP绑定至虚拟IP，实现虚拟IP后端的弹性云服务器访问Internet。 您可以将弹性IP直接绑定至弹性云主机上，实现弹性云主机访问Internet，一个弹性公网IP只能绑定至一台弹性云主机。 将EIP（122.9.9.85）绑定至虚拟IP（172.16.0.2），实现ECSA01和ECSA02访问Internet。 将EIP（122.9.9.87）绑定至ECSB01，实现ECSB01访问Internet。