本章节主要介绍翼MapReduce的导入证书操作。 操作场景 CA证书用于FusionInsight Manager各个模块、集群的组件客户端与服务端在通信过程中加密数据，实现安全通信。FusionInsight Manager支持快速导入CA证书，以确保产品安全使用。适用于以下场景： 首次安装好集群以后，需要更换企业证书。 企业证书有效时间已过期或安全性加强，需要更换为新的证书。 对系统的影响 更换证书过程中集群需要重启，此时系统无法访问且无法提供服务。 更换证书以后，所有组件和Manager的模块使用的证书将自动更新。 更换证书以后，还未信任该证书的本地环境，需要重新安装证书。 前提条件 证书文件和密钥文件可向企业证书管理员申请或由管理员生成。 获取需要导入到集群的CA证书文件（ .crt）、密钥文件（ .key）以及保存访问密钥文件密码的文件（password.property）。证书名称和密钥名称支持大小写字母和数字。以上文件在生成以后需要打包成tar格式压缩包。 准备一个访问密钥文件的密码用于访问密钥文件。 密码复杂度要求如下，如果密码复杂度不满足如下要求，可能存在安全风险： − 密码字符长度最小为8位。 − 至少需要包含大写字母、小写字母、数字、特殊字符~!?,.;'(){}[]/<>@ $%^&+中的4种类型字符。 向证书管理员申请证书时，请提供访问密钥文件的密码并申请crt、cer、cert和pem格式证书文件，以及key和pem格式密钥文件。申请的证书需要有签发功能。

本章节主要介绍翼MapReduce的用户组管理操作。 操作场景 FusionInsight Manager最大支持5000个用户组（包括系统内置用户组）。根据不同业务场景需要，管理员使用FusionInsight Manager创建并管理不同用户组。用户组通过绑定角色获取操作权限，用户加入用户组后，可获得用户组具有的操作权限。用户组同时可以达到对用户进行分类并统一管理多个用户。 前提条件 管理员已明确业务需求，并已创建业务场景需要的角色。 已登录FusionInsight Manager。 添加用户组 1. 选择“系统 > 权限 > 用户组”。 2. 在组列表上方，单击“添加用户组”。 3. 填写“组名”和“描述”。 “组名”由数字、字母、或下划线、中划线（）或空格组成，不区分大小写，长度为1～64位，不能与系统中已有的用户组名相同。 4. 在“角色”，单击“添加”选择指定的角色并添加。 说明 对于已启用Ranger授权的组件（HDFS与Yarn除外），Manager上非系统默认角色的权限将无法生效，需要通过配置Ranger策略为用户组赋权。 HDFS与Yarn的资源请求在Ranger中的策略条件未能覆盖的情况下，组件ACL规则仍将生效。 5. 在“用户”，单击“添加”选择指定的用户并添加。 6. 单击“确定”完成用户组创建。 查看用户组信息 用户组列表默认显示所有用户组。单击指定用户组名称左侧的箭头展开详细信息，可以查看此用户组中的用户数、用户以及绑定的角色。 修改用户组信息 在要修改信息用户组所在的行，单击“修改”，修改用户组信息。

本章节主要介绍通过弹性公网IP访问。 为了方便用户访问开源组件的Web站点，翼MapReduce集群支持通过为集群绑定弹性公网IP的方式，访问集群上托管的开源组件。该方式更加简便易操作，推荐使用该方式访问开源组件的Web站点。 绑定弹性公网IP 1. 在集群列表页面，单击“集群名称”列下需要绑定IP的集群名称，进入该集群信息页面。 2. 确定需要开通公网访问组件所在的节点。可以通过单击“访问链接与端口”，在“集群服务名称”中找到需要开通公网访问的组件，其“原生UI地址”中包含所在节点内网IP地址。 3. 单击“节点管理”，点击“节点组名称”列的下拉按钮，展开对应的节点信息，确定需要开通公网访问的节点，单击“操作”列的“更多”。 4. 单击“绑定弹性IP”，在“绑定弹性IP”的弹框中，如果您账号下没有可用的弹性公网IP，需要点击“+创建弹性公网IP”按钮跳转至新页面进行创建；如果您账号下有可用的弹性公网IP，可以通过下拉“弹性IP”的选择框选择IP后，点击“确认”进行绑定。 5. 绑定弹性IP后，根据需要对集群安全组规则进行相应的添加或修改，变更端口的访问权限。之后可以通过“公网IP：端口”的方式访问该开源组件的Web站点。

本章节主要介绍翼MapReduce的查看集群静态资源操作。 操作场景 大数据管理平台支持通过静态服务资源池对没有运行在Yarn上的服务资源进行管理和隔离。系统支持基于时间的静态服务资源池自动调整策略，使集群在不同的时间段自动调整参数值，从而更有效地利用资源。 系统管理员可以在FusionInsight Manager查看静态服务池各个服务使用资源的监控指标结果，包含监控指标如下： 服务总体CPU使用率 服务总体磁盘IO读速率 服务总体磁盘IO写速率 服务总体内存使用大小 说明 启用多实例功能后，支持管理HBase所有服务实例使用的CPU、I/O和内存总量。 操作步骤 1. 在FusionInsight Manager界面，选择“集群 > 待操作集群的名称 > 静态服务池”。 2. 在“配置组列表”，单击一个配置组，例如“default”。 3. 查看系统资源调整基数。 “系统资源调整基数”表示集群中每个节点可以被集群服务使用的最大资源。如果节点只有一个服务，则表示此服务独占节点可用资源。如果节点有多个服务，则表示所有服务共同使用节点可用资源。 “CPU”表示节点中服务可使用的最大CPU。 “Memory”表示节点中服务可使用的最大内存。 4. 在图表区域，查看集群服务资源使用状态指标数据图表。 说明 可通过“为图表添加服务”，将特定服务的静态服务资源数据添至图表，最多可选择12个服务。 管理单个图表的操作，可参见

本文介绍如何为应用挂载数据卷。 Docker镜像是由多个文件系统叠加而成，当启动一个容器的时候，Docker会加载只读镜像层并在上面添加一个读写层。当删除Docker容器并通过该镜像重新启动时，之前的更改将会丢失。为了能够保存数据以及共享容器间的数据，Docker提出了数据卷的概念。简单来说，数据卷就是目录或者文件，它可以绕过默认的联合文件系统，以正常的文件或者目录的形式存在于主机上。 在Docker中，数据卷只是磁盘或另一容器中的目录。其生命周期不受管理，且Docker现在提供的卷驱动程序功能非常有限。容器引擎CCE采用的是Kubernetes的数据卷的概念，Kubernetes数据卷具有完善的生命周期管理，支持多种类型的数据卷，同时实例可以使用任意数量的数据卷。 云容器引擎支持四类本地磁盘挂载类型：支持hostPath、emptyDir、configMap、secret。各类型说明如下： hostPath：指定主机中的文件或目录挂载到容器的某一路径中； EmptyDir：用于临时存储，生命周期与容器实例相同。容器实例消亡时，EmptyDir会被删除， 数据会永久丢失； ConfigMap：将配置文件中的key映射到容器中，可以用于挂载配置文件到指定容器目录； Secret：将密钥中的数据挂载到指定的容器路径。 操作步骤 1.在创建应用或升级应用流程中，进去容器设置步骤，点击【数据存储】，点击【添加本地磁盘】，进入本地磁盘添加页面； 1）卷类型选择hostPath，表示在容器上挂载宿主机上的文件或目录。通常用于“容器应用程序生成的日志文件需要永久保存”或者“需要访问宿主机上Docker引擎内部数据结构的容器应用”，具体参数说明如下所示： 参数 参数说明 存储类型 选择主机路径 主机路径 输入主机路径，如/tmp 挂载路径 数据卷挂载到容器上的路径 注意： 请不要挂载在系统目录下，如“/”、“/var/run”等，会导致容器异常。建议挂载在空目录下，若目录不为空，请确保目录下无影响容器启动的文件，否则文件会被替换，导致容器启动异常，应用创建失败 子路径 相对路径 权限 只读：只能读容器路径中的数据卷； 读写：可修改容器路径中的数据卷，容器迁移时新写入的数据不会随之迁移，会造成数据丢失； 2）卷类型选择emptyDir：容器分配到节点时系统将自动创建卷，初始内容为空。在同一个Pod中所有容器可以读写emptyDir中的相同文件。当Pod从节点上移除时，empryDir中的数据也会永久删除。通常用于临时数据的高速存储，具体参数说明如下所示： 参数 参数说明 存储类型 选择临时路径 磁盘介质 不勾选：存储在硬盘上，适用于数据量大，读写效率要求低的场景 勾选：存储在内存中，适用于数据量少，读写效率要求高的场景 挂载路径 数据卷挂载到容器上的路径。 注意： 请不要挂载在系统目录下，如“/”、“/var/run”等，会导致容器异常。建议挂载在空目录下，若目录不为空，请确保目录下无影响容器启动的文件，否则文件会被替换，导致容器启动异常，应用创建失败 权限 只读：只能读容器路径中的数据卷 可写：可修改容器路径中的数据卷，容器迁移时新写入的数据不会随之迁移，会造成数据丢失 3）卷类型选择configMap：平台提供应用代码和配置文件的分离，configMap用于处理应用配置参数。用户需要提前创建应用配置，操作步骤请参见创建配置项，临时数据的高速存储，具体参数说明如下所示： 参数 参数说明 存储类型 选择配置项 配置项 选择已经建立好的配置项 说明： configMap需要提前创建 挂载路径 数据卷挂载到容器上的路径 权限 只读：只能读容器路径中的数据卷 4）卷类型选择secret：用户需要提前创建私密凭据，操作步骤请参见创建私密凭据,临时数据的高速存储，具体参数说明如下所示： 参数 参数说明 存储类型 选择私密凭据 卷类型 选择已经创建好的私密凭据 说明： secret需要提前创建，请参见 创建私密凭据 挂载路径 数据卷挂载到容器上的路径 权限 只读：只能读容器路径中的数据卷 2.点击【添加容器挂载】，可新增挂载项，点击【删除】可删除之前的容器挂载配置； 3.点击【确定】，完成本地磁盘的添加。

本文介绍事件总线EventBridge中的基本概念。 CloudEvents 1.0 CloudEvents 1.0 是一个用于以标准方式描述事件数据的开源规范，旨在简化事件声明及跨服务、跨平台的消息投递。 事件 事件源状态变化的数据记录。 事件源 事件的来源，负责生产事件。事件源包括以下类型： 天翼云官方事件源：作为事件源与事件总线EventBridge对接的其他天翼云服务。 自定义事件源：自定义应用或者存量消息数据作为事件源将事件主动拉取到自定义总线。 事件总线 负责接收来自事件源的事件。事件总线包括以下类型： 云服务专用事件总线：一个无需创建与不可修改的内置官方事件总线，用于接收天翼云官方事件源的事件。天翼云官方事件源的事件只能发布到云服务专用事件总线。 自定义事件总线：需要您自行创建并管理的事件总线，用于接收自定义应用的事件。自定义应用事件只能发布到自定义事件总线。 事件规则 用于监控、路由与转换特定类型的事件。当发生匹配事件时，事件会被路由到与事件规则关联的事件目标。规则可以与一个或多个事件目标关联。事件规则包括： 事件模式 事件转换 事件目标 事件模式 对事件进行过滤的模块。事件模式支持对符合CloudEvents协议的事件对除data外的字段进行过滤。事件模式采用JSON格式进行描述。 事件转换 对事件内容进行转换，在事件被路由到事件目标前转换事件内容。事件转换器支持以下类型： 完整事件：将全部的事件内容路由到目标。 部分事件：通过JSONPath提取事件中的数据，将指定的事件内容路由到目标。 常量：不管事件内容是什么，都将常量路由到目标。 模板：自定义一个模板并定义模板里需要的变量，通过JSONPath提取事件中的数据，按照模板定义的形式进行转换。

本文介绍了如何配置RDSPostgreSQL安全组。 RDSPostgreSQL开通后，您连接访问前需要对实例进行安全组相关设置，具体指引如下： 操作场景 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求，并相互信任的弹性云服务器和RDSPostgreSQL实例提供访问策略。 为了保障数据库的安全性和稳定性，在使用RDSPostgreSQL实例之前，您需要设置安全组，开通需访问数据库的IP地址和端口。 通过弹性公网IP连接RDSPostgreSQL实例时，需要为RDSPostgreSQL所在安全组配置相应的入方向规则。 注意事项 因为安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云服务器和RDSPostgreSQL实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当RDSPostgreSQL实例加入该安全组后，即受到这些访问规则的保护。 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的RDSPostgreSQL实例时，需要为安全组添加相应的入方向规则。 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的RDSPostgreSQL实例。 操作步骤 1. 登录天翼云门户。 2. 点击【控制中心】，选择对应资源池，例如“华东1”。 3. 在页面中找到【网络】>【虚拟私有云】，并点击进入。 4. 在左侧导航树选择“访问控制 > 安全组”。 5. 在安全组界面，单击“安全组名称”列对应的安全组，进入安全组详情界面。 6. 根据实际情况，选择“入方向规则”或者“出方向规则”。 7. 在安全组详情界面，单击“添加规则”，弹出添加规则窗口。 8. 根据界面提示配置安全组规则。 9. 单击“确定”。

本节介绍了关系数据库MySQL产品生命周期的相关内容。 关系数据库MySQL版在MySQL社区版本生命周期的基础上，延长了支持时间。在延长期内，关系数据库MySQL会持续发布新的版本，新版本仅限于对严重影响实例安全和稳定的问题进行修复。由于MySQL社区对安全类问题进行了保密处理，天翼云关系数据库MySQL并不能承诺修复所有严重的安全和稳定性问题。 关系数据库MySQL基于MySQL开源社区提供数据库云服务，本文将为您介绍关系数据库MySQL的版本策略，您可以根据此信息进行规划，在创建实例、数据迁移等操作时选择更合适的目标版本。 天翼云延长支持停止服务时间，是为用户迁移业务提供更充裕的时间。数据迁移的具体操作，请参见版本升级。 天翼云对关系数据库MySQ各个版本的停售和停止服务时间参见下表。 说明 下表中时间为预计时间，请以实际停售、停止支持的公告时间为准。 当关系数据库MySQL某个版本停售后，您将无法新购该停售版本实例。 当关系数据库MySQL某个版本产品停止服务（即生命周期结束）后，将不再售卖，并且对已EOS的存量实例将不提供内核漏洞修复支持服务，建议将已EOS的存量实例尽快升级到最新的内核版本，避免严重影响实例安全和稳定。 请您提前制定版本升级或者数据迁移等操作的计划。 表 关系数据库MySQL各个版本生命周期 MySQL版本号 社区发布时间 社区生命周期结束时间 天翼云EOM（停售）时间 天翼云EOS（停止服务）时间 5.6 2013年2月5日 2021年2月5日 2025年10月10日（关于天翼云二类节点关系数据库 MySQL 5.6版本于2025年10月10日00:00（北京时间）停售的公告） 2026年4月10日 5.7 2015年10月21日 2023年10月21日 8.0 2018年4月19日 2026年4月

切换/故障切换后，生产站点服务器与容灾站点服务器的hostname不一致 首次执行切换/故障切换操作前，用户修改了生产站点服务器的hostname。然后执行切换/故障切换，并启动容灾站点服务器，发现容灾站点服务器的hostname没有更新。可能的原因是，对于linux云主机，在首次执行切换/故障切换操作前，您如果在生产站点服务器内部修改了hostname，该修改不会自动同步到容灾站点服务器。 处理方法1： 对于暂未执行切换/故障切换操作的保护组，为保证开启容灾保护后，生产站点服务器与容灾站点服务器的hostname一致，您可以在首次执行切换/故障切换操作前，先在生产站点服务器内部修改cloudinit配置文件/etc/cloud/cloud.cfg，将“preservehostname: false”修改为“preservehostname: true”。 具体操作如下： 1. 登录生产站点服务器。 2. 执行以下命令，编辑配置文件“/etc/cloud/cloud.cfg”。 sudo vim /etc/cloud/cloud.cfg 3. 修改“preservehostname”参数项。 如果文件“/etc/cloud/cloud.cfg”中已有参数项“preservehostname: false”，将其修改为“preservehostname: true”即可。 如果文件“/etc/cloud/cloud.cfg”中没有该参数项，需在“cloudinitmodules”模块前，添加语句 “preservehostname: true” 。 4. 执行切换/故障切换操作。 切换/故障切换后，容灾站点服务器的主机名与生产站点服务器hostname保持一致。 处理方法2： 对于已经执行切换/故障切换操作，但是未提前修改配置文件/etc/cloud/cloud.cfg的生产站点服务器，您需要登录容灾站点服务器，手动修改容灾站点服务器的hostname，使其与生产站点服务器修改后的hostname保持一致。

本节介绍企业主机安全计费类的常见问题 退订重购HSS后，是否需要重新安装Agent与配置主机防护信息？ 不需要。 退订HSS时，退订的是防护配额。HSS不会自动卸载主机上已安装的Agent，也不会修改或者删除已配置的主机防护信息。 注意 请保证重购防护配额的区域与原购买区域保持一致，HSS不支持跨区域使用。

本文将介绍如何新增自定义基线检查计划。 操作场景 态势感知（专业版）支持根据基线检查计划检查您的资产是否存在风险，默认每隔3天，每次在00:00~06:00对您账号下当前region相关资产按照“安全上云合规检查1.0”遵从包自动执行基线检查，无需用户执行额外操作，系统默认开启。 另外，还可以自定义自动检测周期、时间以及检查范围。 约束与限制 同一个检查规范只能属于一个检查计划。 由于“等保2.0三级要求”、“GDPR”、“PCIDSS”、“NIST SP 80053”遵从包中的检查项为手动检查项目，因此不支持创建包含该遵从包的检查计划。 “操作系统配置基线”、“经典弱口令检测”、“口令复杂度策略检测”遵从包不支持在态势感知（专业版）侧执行基线检查，态势感知（专业版）仅支持查看HSS的基线检查结果。 支持检查“安全上云合规检查1.0”、“护网检查”、“云安全配置基线”遵从包中支持自动化项的检查项。 默认检查计划不支持变更包含的遵从包以及检查时间，仅支持执行开启或关闭操作。 创建检查计划 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“风险预防 > 基线检查”，进入基线检查页面后，选择“安全遵从包”页签，并在安全遵从包页面中，选择“检查计划”页签，进入检查计划管理页面。 5. 在检查计划页面中，单击“创建计划”，系统右侧弹出新建检查计划页面。 6. 配置检查计划。 参数名称 参数说明 基本信息 计划名称 自定义检查计划的名称。命名规则如下： 计划名称由中文、字母、数字、下划线和连接符组成。 长度为1~255个字符。 基本信息 检查时间 下拉选择检测周期和检查触发时间。 检测周期：每隔1天、3天、7天、15天、30天检查一次 检查触发时间：00:00~06:00、06:00~12:00、12:00~18:00、18:00~24:00 选择遵从包 勾选选择需要检测的遵从包。 7. 单击“确定”。 检查计划创建完成后，态势感知（专业版）会在指定的时间执行云服务基线扫描，扫描结果可以在“风险预防 > 基线检查”中查看。

本章节主要介绍ALM12017 磁盘容量不足。 告警解释 系统每30秒周期性检测磁盘使用率，并把磁盘使用率和阈值相比较。磁盘使用率有一个默认阈值，当检测到磁盘使用率超过阈值时产生该告警。 平滑次数为1，主机磁盘某一分区使用率小于或等于阈值时，告警恢复；平滑次数大于1，主机磁盘某一分区使用率小于或等于阈值的90%时，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 12017 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群或系统名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 设备分区名 产生告警的磁盘分区。 Trigger Condition 系统当前指标取值满足自定义的告警设置条件。 对系统的影响 业务进程不可用。 可能原因 告警阈值配置不合理。 磁盘配置无法满足业务需求，磁盘使用率达到上限。 处理步骤 检查阈值设置是否合理 1.在FusionInsight Manager选择“运维 > 告警 > 阈值设置 > 待操作集群的名称 > 主机 > 磁盘 > 磁盘使用率”中查看该告警阈值是否不合理（默认90%为合理值，用户可以根据自己的实际需求调节）。 是，执行步骤2。 否，执行步骤4。 2.根据实际服务的使用情况在“运维 > 告警 > 阈值设置 > 待操作集群的名称 > 主机 > 磁盘 > 磁盘使用率”中单击“操作”列的“修改”更改告警阈值。如下图所示。 3.等待2分钟，查看告警是否消失。 是，处理完毕。 否，执行步骤4。

修改组策略 前提条件 已获取服务器管理员帐号与密码。 打开本地组策略编辑器 打开CMD运行窗口，输入 gpedit.msc ，打开本地组策略编辑器。 选择指定的远程桌面许可证服务器 1 选择“计算机配置 > 管理模板 > Windows组件 > 远程桌面服务 > 远程桌面会话主机 > 授权”，进入服务器授权许可设置页面。 2 双击“使用指定的远程桌面许可证服务器”，打开设置窗口。 3 勾选“已启用”，启用远程桌面许可证服务器，并输入本服务器地址。 4 单击“确认”，完成设置。 使用指定许可证服务器 隐藏有关影响RD会话主机服务器的RD授权问题的通知 1 选择“计算机配置 > 管理模板 > Windows组件 > 远程桌面服务 > 远程桌面会话主机 > 授权”，进入服务器授权许可设置页面。 2 双击“隐藏有关影响RD会话主机服务器的RD授权问题的通知”，打开设置窗口。 3 勾选“已启用”，启用隐藏通知，并配置本服务器地址。 4 单击“确定”，完成设置。 隐藏RD授权问题的通知 设置远程桌面授权模式 1 选择“计算机配置 > 管理模板 > Windows组件 > 远程桌面服务 > 远程桌面会话主机 > 授权”，进入服务器授权许可设置页面。 2 双击“设置远程桌面授权模式”，打开设置窗口。 3 勾选“已启用”，启用远程桌面授权模式。 在“指定RD会话主机服务器的授权模式”下拉列表中选择“按用户”。 4 单击“确定”，完成设置。 设置远程桌面授权模式

修改组策略 前提条件 已获取服务器管理员帐号与密码。 打开本地组策略编辑器 打开CMD运行窗口，输入 gpedit.msc ，打开本地组策略编辑器。 选择指定的远程桌面许可证服务器 1 选择“计算机配置 > 管理模板 > Windows组件 > 远程桌面服务 > 远程桌面会话主机 > 授权”，进入服务器授权许可设置页面。 2 双击“使用指定的远程桌面许可证服务器”，打开设置窗口。 3 勾选“已启用”，启用远程桌面许可证服务器，并输入本服务器地址。 4 单击“确认”，完成设置。 使用指定许可证服务器 隐藏有关影响RD会话主机服务器的RD授权问题的通知 1 选择“计算机配置 > 管理模板 > Windows组件 > 远程桌面服务 > 远程桌面会话主机 > 授权”，进入服务器授权许可设置页面。 2 双击“隐藏有关影响RD会话主机服务器的RD授权问题的通知”，打开设置窗口。 3 勾选“已启用”，启用隐藏通知，并配置本服务器地址。 4 单击“确定”，完成设置。 隐藏RD授权问题的通知 设置远程桌面授权模式 1 选择“计算机配置 > 管理模板 > Windows组件 > 远程桌面服务 > 远程桌面会话主机 > 授权”，进入服务器授权许可设置页面。 2 双击“设置远程桌面授权模式”，打开设置窗口。 3 勾选“已启用”，启用远程桌面授权模式。 在“指定RD会话主机服务器的授权模式”下拉列表中选择“按用户”。 4 单击“确定”，完成设置。 设置远程桌面授权模式

本节帮助您了解如何实现用户上网行为控制。 操作场景 随着网络化办公的普及，员工办公变得更加快捷方便，但是员工非上网现象也越来越突出，企业普遍存在着电脑和互联网滥用的严重问题，网上购物、在线聊天、玩游戏等与工作无关的上网行为占用了有限的宽带，严重影响了正常的工作效率。您可能需要优化管理您所在组织的网络资源，提高整体工作效率，避免机密、商业信息、科研成果泄漏。 解决方案 您可以通过内网DNS实现用户上网行为控制。例如您希望在名为"vpcnewDNS"的VPC中屏蔽用户对百度的访问，可以在内网DNS上进行相应配置。 首先，将内网DNS关联到"vpcnewDNS"的VPC，并确保DNS解析服务能够生效于该VPC的资源。然后，针对百度的域名（例如baidu.com），在内网DNS服务器上添加A记录，并将IP地址设置为0.0.0.0。这样配置后，当VPC内的用户访问百度时，内网DNS将会返回0.0.0.0的IP地址，从而阻止了对百度的访问。 操作步骤 1. 登录到内网DNS控制中心页面。 2. 单击控制中心顶部的，选择“地域”，此处我们选择华东1。 3. 单击“创建内网域名”。 4. 在“创建内网域名”弹窗，按下图示例对“域名”及“VPC”进行配置，无误后单击“确定”进行创建。 5. 找到创建好的内网域名，单击“管理记录集”进入解析记录界面。 6. 单击右上角的“添加记录集”，参照下图示例进行记录集配置后单击“确定”。 7. 记录集添加后，即为完成“vpcnewDNS”内用户对百度的访问屏蔽。 8. 设置云主机的DNS服务地址为内网DNS地址。具体步骤可参见更改主机DNS使内网DNS配置生效。

验证数据持久化 登录“云容器引擎”管理控制台； 在集群列表页点击进入指定集群； 进入主菜单“工作负载”——“有状态”，进入负载详情； 在Pod列表页，选择“远程登录”，进入到容器内执行以下命令： 1、向/ccetmp 目录下写一个文件，执行echo "Hello World" > /ccetmp/test.log 2、查看/ccetmp目录下文件，执行ls /ccetmp，预期结果如下: plaintext test.log 退出“远程登录”，对上一步中的Pod执行“销毁重建”，等待Pod重新运行正常； 对新建Pod，继续执行“远程登录”，进入到容器内查看数据。执行cat /ccetmp/test.log，预期结果如下： plaintext Hello World 登录“天翼云对象存储”管理控制台，根据PV名称查看bucket，进入bucket——文件管理，可以看到在容器内创建的文件： 下载文件并查看内容，预期结果与容器内写入数据一致。 以上步骤说明，pod删除重建后，重新挂载对象存储卷，数据仍然存在；从对象存储下载数据并与写入数据一致， 说明对象存储中的数据可持久化保存。

场景三：网站被恶意盗刷 当网站被恶意盗刷时，也会消耗全站加速的带宽资源，易产生突发带宽。 潜在风险提示 当举行大型推广营销活动、域名受到恶意攻击或者网站被盗刷时，产生的突发带宽实际消耗了天翼云全站加速的带宽资源，所以需要客户自行承担因此产生的流量、带宽、请求数的费用。 建议应对方案 方法一：设置可用额度告警 通过对客户在天翼云官网账户的可用额度预警进行设置，当用户的余额低于阈值，系统会发送短信提醒。操作步骤如下： 1. 登录天翼云账户。 2. 单击右上角。 3. 单击【费用中心】。 4. 打开【可用额度预警】开关，修改预警阈值，当用户的余额低于阈值，系统会发送短信提醒。 方法二：开通安全防护功能 如果您的加速域名有被攻击风险或正在遭受攻击，建议购买天翼云边缘安全加速平台的相关产品保证域名的正常使用。详见：边缘安全加速平台。

本节介绍了Windows操作系统为什么要安装并更新VMTools的相关内容。 为什么要安装VMTools？ VMTools是为弹性云主机提供高性能磁盘和网卡的半虚拟化驱动（virtio driver）。 标准的Windows系统不会自带virtio driver。 平台提供的公共镜像默认已安装VMTools。 私有镜像需用户自行安装VMTools，安装指导请参见安装UVP VMTools。 为什么要更新VMTools？ 平台会定期从virtio社区同步问题修复，每月发布更新版本。保持最新的驱动版本能有效避免触发社区或研发测试发现的已知问题。 什么时候更新VMTools？ 如果是重大错误修改，建议您立即更新VMTools版本（目前暂未遇到该情况）。其他问题，请根据实际需要决定是否更新。 平台会及时更新提供至OBS桶里的VMTools版本，确保您在制作私有镜像时下载使用的VMTools为最新版本。 平台提供的公共镜像会及时更新，确保安装最新版本的VMTools。 资料更新与OBS桶文件的更新始终保持同步，确保文档里指定的下载链接是VMTools最新版本。 用户需要做哪些操作？ 根据指导升级Windows私有镜像或正在运行的Windows实例中的驱动程序。 如有任何技术问题或疑问，请联系客服获取帮助。

本章节介绍介绍如何进行一次完整的故障演练实验,帮助您快速上手产品使用。 故障演练服务的使用过程遵循创建应用纳管资源执行演练观测结果的基本流程。 下面以分布式缓存服务Redis版 实例的CPU高负载场景为例，介绍如何进行一次完整的故障演练实验。 一、创建环境 登录应用高可用 控制台，进入故障演练服务 ，打开环境概览 页面，单击创建环境，根据页面提示完成环境创建。 二、创建应用 打开应用列表 页面，单击创建应用。 三、添加资源 打开应用资源 页面，在资源类型 页签中选择分布式缓存服务Redis版 ，然后单击添加资源 。在弹出的对话框中选择目标实例，单击确定即可完成资源添加。 四、添加监控指标 打开监控指标 页面，选择云产品监控 页签，单击添加指标 。在对话框中选择分布式缓存服务Redis版 ，然后选择节点指标 下的主机CPU使用率 ，单击确定将选定的指标添加到当前应用。 五、创建演练任务 打开演练管理 页面，单击新建演练。 1. 填写基本信息 进入基本信息填写页面，填写演练名称、演练描述和关联应用等。 说明 配置关联应用 可在当前演练任务中选择关联应用的资源进行故障演练。

本节主要介绍绑定弹性公网IP 操作场景 关系型数据库实例创建成功后，默认未开启公网访问功能（即未绑定弹性IP）。关系型数据库服务支持用户绑定弹性IP，在公共网络来访问数据库实例，绑定后也可根据需要解绑。 注意事项 您需要设置安全组，开通需访问数据库的IP地址和端口，才可以访问数据库实例。在访问数据库前，您需要将访问数据库的IP地址，或者IP段加安全组入方向的访问规则。为了获得更快的传输速率和更高的安全级别，建议您将应用迁移到与您的关系型数据库在同一区域的弹性云主机上。 绑定弹性IP 步骤 1. 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页面。 步骤 2. 在左侧导航栏，单击“连接管理”，单击“绑定弹性IP”。 步骤 3. 在弹出框的弹性IP地址列表中，选择目标弹性IP，单击“确定”，提交绑定任务。 如果没有可用的弹性IP，您可单击“查看弹性IP”，获取弹性IP。 步骤 4. 在“连接管理”页面，查看绑定成功的弹性IP。 您也可以在“任务中心”页面，查看“实例绑定弹性IP”任务的执行进度及结果。

本文介绍弹性容器实例ECI的应用场景。 弹性流量业务 场景说明 根据业务流量自动对业务进行扩容，无需人工干预，避免流量激增扩容不及时而导致系统故障，以及平时大量闲置资源造成的浪费。 能够实现 Serverless计算：便捷获取计算资源，兼容 Kubernetes。 快速弹性：秒级启动Pod。 按需使用：容器实例按需创建释放，不需要预先准备底层资源。 持续交付集成 场景说明 支持自动化的持续交付流程，对接Devops平台，自动完成容器部署，加速测试用例的执行和测试环境的建立，并可随时创建销毁容器。 能够实现 自动化：无需创建和维护集群，提供自动化及弹性能力。 环境一致性：以容器镜像交付，支持不可变的基础设施。 深度整合 ：支持日志、告警、事件查询等集成服务。 大数据计算处理 场景说明 大批量的AI、大数据计算数据处理任务，根据业务数据处理需求，能够在短时间内快速创建大量处理节点，满足业务的大数据及 AI 在线处理诉求。 能够实现 共池混部统一调度 ：提供与云主机共池混部的调度能力。 灵活的任务规格 ：提供细粒度容器实例规格，满足上层应用和服务对计算能力的包装。 按需付费 ：容器实例根据资源规格及使用时长付费。 多种引擎统一调度

本小节介绍SSL VPN的其他设置，包括设置密码安全策略、是否开启防暴力破解等。 密码安全策略 密码安全策略可以要求用户必须修改初始密码，并且满足密码复杂度要求。 1. 在“认证设置 > 主要认证 > 本地密码认证”设置页面。 2. 勾选“启用密码安全策略”，并开启响应复杂度要求。 开启防暴力破解选项 防暴力破解可以避免恶意用户暴力破解SSL账号，入侵内网系统。 1. 在“认证设置 > 认证选项设置 > 密码认证选项”设置页面。 2. 勾选防暴力破解选项下的三个选项即可。 端口设置 说明 不建议暴露安全产品管理端口到公网，存在一定安全风险，请使用安全组进行防护。 案例：安全组防护SSL VPN管理端口4430。 登录控制台的云主机实例详情页面，选择“安全组”功能。这里您可以创建和管理安全组规则。 然后，点击“配置规则”下的“入方向规则”。在规则配置中，选择“添加入方向规则”，限制源地址为您日常登录使用的IP或IP段。例如限制为您公司办公网络。

本章节内容主要介绍通过ECS内网连接DDS实例 场景描述 文档数据库实例创建成功后，可通过内网访问数据库实例。本章节以Linux系统为例，介绍从购买到内网连接集群实例的操作步骤。 步骤1：创建ECS 步骤2：创建集群实例 步骤3：连接集群实例 方案正文 本章节以Linux系统为例，介绍从购买到内网连接集群实例的操作步骤。具体操作步骤如下： 步骤1：创建ECS 1.登录管理控制台。 2.选择“计算 > 弹性云主机”，单击“购买弹性云主机”。 3.配置基础信息后，单击“下一步：网络配置”。ECS与待连接的集群实例的区域及可用区一致。 图1 基础配置 图2 选择镜像 4.配置网络信息后，单击“下一步：高级配置”。ECS与待连接的集群实例的VPC和安全组一致。 图3 网络配置 5.配置密码等信息后，单击“下一步：确认配置”。 图4 高级配置 6.确认配置信息后，单击“立即购买”。 图5 确认配置 7.查看购买成功的ECS。 图6 购买成功 步骤2 创建集群实例 1.登录管理控制台。 2.选择“数据库 > 文档数据库服务 DDS”，单击“购买数据库实例”。 3.填选实例信息后，单击“立即购买”。ECS与待连接的集群实例的区域、可用区、VPC和安全组一致。 图7 基础配置 图8 设置密码 图9 网络设置 查看购买成功的DDS实例。 图10 购买成功 步骤3 连接DDS实例 1.本地使用Linux远程连接工具登录ECS。“Remote host”为ECS绑定的弹性公网IP。 图11 新建会话 2.输入创建ECS时设置的密码。 图12 输入密码 图13 登录成功 3.打开 图14 下载客户端 4.上传客户端安装包到ECS。 图15 上传客户端 图16 上传成功 5.在弹性云服务器上，解压安装包。 tar zxvf mongodblinuxx8664rhel704.0.27.tgz 6.进入安装包的“bin”文件夹下，获取客户端工具。 cd mongodblinuxx8664rhel704.0.27/bin 其中，常用工具包含如下： MongoDB客户端mongo。 数据导出工具mongoexport。 数据导入工具mongoimport。 7.使用客户端工具前，需要对工具赋予执行权限。 执行chmod +x mongo，赋予连接实例的权限。 执行chmod +x mongoexport，赋予导出数据的权限。 执行chmod +x mongoimport，赋予导入数据的权限。 8.连接DDS实例。 ./mongo mongodb://rwuser:@ : , : /test?authSourceadmin，实例地址可在控制台直接复制。 图17 连接成功 常用创建数据库和集合的操作。 图18 创建数据库 图19 创建集合

本章介绍收到主机登录成功的告警的处理方法。 若您在“实时告警通知”项目中勾选了“登录成功通知”选项，则任何帐户登录成功的事件都会向您实时发送告警信息。 若您所有ECS上的帐户都由个别管理员负责管理，通过该功能可以对系统帐户进行严格的监控。 若系统帐户由多人管理，或者不同主机由不同管理员负责管理，那么运维人员可能会因为频繁收到不相关的告警而对运维工作造成困扰，此时建议您登录主机安全服务控制台关闭该告警项。 登录成功并不代表发生了攻击，需要您确认登录IP是否是已知的合法IP。

参数项 说明 区域 指APIG专享版实例部署的区域，建议和您其他的业务部署在相同区域，这样不同的业务可以在VPC内以子网方式通信，节省公网带宽成本，降低网络延时。 可用区 指同一区域内电力、网络等资源物理隔离的地理区域，一般为互相独立的机房。 APIG实例支持同时选择多个可用区，进行跨可用区部署，提升实例高可用性。 实例名称 实例的名称，根据规划自定义。 实例规格 当前开放基础版、专业版、企业版、铂金版实例。 时间窗 指允许云服务技术支持对实例进行维护的时间段。如果有维护需要，技术支持会提前与您沟通确认。 建议选择业务量较少的时间段。 公网入口 指允许外部服务通过弹性IP地址，调用专享版实例创建的API。开启“公网入口”，需要绑定一个“弹性IP地址”。 您需要使用独立域名/子域名访问，使用子域名访问时存在单日访问次数限制。可在创建API分组后，为分组绑定独立域名，独立域名需要解析到专享版实例的弹性IP。 例如您有一个API，请求协议为HTTPS，Path为/apidemo，开启了公网访问，并为分组绑定了独立域名后，可使用 公网出口 指允许专享版实例API的后端服务部署在外部网络，APIG为实例开启公网出口。您可以根据业务预估设置合适的“出公网带宽”。出公网带宽可配置范围为1~2000Mbit/s，费用按小时计算，以弹性IP服务的价格为准。 IPv6 如果后端云主机部署在外部网络，且需要使用IPv6地址访问，则需要勾选“支持IPv6”。 网络 指为实例绑定到一个虚拟私有云，并为其分配子网。 在相同虚拟私有云中的云服务资源（如ECS），可以使用APIG专享版实例的私有地址调用API。 建议将专享版实例和您的其他关联业务配置一个相同的虚拟私有云，确保网络安全的同时，方便网络配置。 安全组 安全组用于设置端口访问规则，定义哪些端口允许被外部访问，以及允许访问外部哪些地址与端口。 例如，后端服务部署在外部网络，则需要设置相应的安全组规则，允许访问后端服务地址与API调用监听端口。 说明 如果开启公网入口，安全组入方向需要放开80（HTTP）和443（HTTPS）端口的访问权限。 描述 实例的描述信息。

本节主要介绍创建用户组并授权 A公司的团队分为管理组（admin）、开发人员组和测试人员组。由于系统默认内置了admin组，用于拥有帐号所有资源的使用及管理权限，因此A公司的团队只需要在IAM中再创建开发人员组及测试人员组即可。 创建用户组 步骤 1 A公司管理员使用已注册的天翼云帐号登录天翼云官网。 步骤 2 单击右上角账号名，在下拉列表中单击“账号中心”。 步骤 3 账号中心左侧导航栏中，单击“统一身份认证”。 步骤 4 统一身份认证左侧导航栏中，单击“用户组”。 步骤 5 在“用户组”管理界面中，单击右上方的“创建用户组”。 步骤 6 输入“用户组名称”和“描述”，单击“确定”。 返回用户组列表页，用户组列表中将显示新创建的用户组。 依照以上流程，分别创建“开发人员组”和“测试人员组” 给用户组授权 A公司的开发人员需要使用的云服务为ECS、VPC及云硬盘，需要为“开发人员组”授予这些服务的管理员权限。测试人员需要使用云服务CES，需要为“测试人员组”授予此服务的权限。完成用户组的授权后，用户组中的用户才可以使用这些云服务。 步骤 1 A公司管理员使用已注册的天翼云帐号登录天翼云官网。 步骤 2 单击首页顶部控制中心，在控制中心首页“管理与部署”类中，单击“统一身份认证服务”。 步骤 3 在统一身份认证服务控制台页面，单击左侧功能菜单“用户组”，找到已创建的“开发人员组”用户组，单击右侧 “授权”。 步骤 4 在用户组权限管理页面，勾选需要授予用户组的服务权限，如在本例中，为“开发人员组”添加ECS Admin、VPC Admin和EVS Admin三个策略授权，然后单击“下一步”。 步骤 5 选择授权范围方案为“指定区域项目资源”，并选择要授权的区域项目，即资源池，然后单击“确定”。完成设置后，开发人员组仅在授权的区域有操作权限，其它区域将提示没有权限。 步骤 6 单击“确定”，完成用户组的权限授权。 参考步骤3至步骤5的方法，为“测试人员组”授予“CES Administrator ”的权限。

接口功能介绍 查看后端主机详情 接口约束 无 URI GET /v4/elb/showtarget 路径参数 无 Query参数 参数 是否必填 参数类型 说明 示例 下级对象 regionID 是 String 区域ID 81f7728662dd11ec810800155d307d5b ID 否 String 后端主机ID, 该字段后续废弃 xxx targetID 是 String 后端主机ID, 推荐使用该字段, 当同时使用 ID 和 targetID 时，优先使用 targetID xxxx 请求参数 请求头header参数 无 请求体body参数 无 响应参数 参数 参数类型 说明 示例 下级对象 statusCode Integer 返回状态码（800为成功，900为失败） 800 message String statusCode为900时的错误信息; statusCode为800时为success, 英文 success description String statusCode为900时的错误信息; statusCode为800时为成功, 中文 成功 errorCode String statusCode为900时为业务细分错误码，三段式：product.module.code; statusCode为800时为SUCCESS SUCCESS returnObj Object 接口业务数据 returnObj 表 returnObj 参数 参数类型 说明 示例 下级对象 regionID String 区域ID 81f7728662dd11ec810800155d307d5b azName String 可用区名称 az1 projectID String 项目ID 0 ID String 后端主机ID xxx targetGroupID String 后端主机组ID tgxxx description String 描述 desc instanceType String 实例类型: VM / BM VM instanceID String 实例ID xxx protocolPort Integer 协议端口 8000 weight Integer 权重 50 healthCheckStatus String IPv4的健康检查状态: offline / online / unknown online healthCheckStatusIpv6 String IPv6的健康检查状态: offline / online / unknown online status String 状态: DOWN / ACTIVE DOWN createdTime String 创建时间，为UTC格式 20221003T09: 44: 22Z updatedTime String 更新时间，为UTC格式 20221003T09: 44: 22Z targetIP String 后端主机IP 192.2.22.2

本节为您介绍CMSSMS迁移服务使用流程。 使用服务器迁移服务，您需在迁移源服务器和主机控制台进行操作。迁移源服务器上安装并运行Agent；通过Agent回调必要信息到主机控制台；通过主机迁移控制台进行后续的任务配置等操作。 CMSSMS迁移服务使用流程总览如下图所示： CMSSMS迁移任务需要将迁移源与目标机网络打通，具体请见如下组网视图：

客户端之前连接成功，但间歇性中断下线怎么办？ 产生当前问题的可能原因及解决方案如下表。 分类 原因 解决方案 公网链路质量不佳 由于客户端和VPN网关之间的公网链路质量不佳导致客户端间歇性中断下线。 公网链路质量不佳（延时高或丢包率高等），可联系运营商协助进行故障排查。 SSL服务端配置变更 SSL服务端配置变更导致客户端中断下线。 SSL服务端修改配置后，请在客户端调整配置，重新发起连接。 客户端连接成功，但无法ping通VPC内的网络资源怎么办？ 原因： 1. VPC应用的访问控制策略禁止ping命令探测。 2. 未配置对应的VPC子网资源。 3. VPC应用的安全组规则未放通客户端地址池。 解决方案： 1. 请排查VPC内的网络资源是否禁止ping命令探测，如果是，请修改访问控制策略。 默认情况下Windows操作系统的客户端的防火墙是禁止ping命令探测的，您需要修改Windows防火墙的入站规则允许ICMPv4In。 2. 排查VPC本端子网的配置，确保本端子网中包含了需要访问的网络资源。 3. 排查VPC应用的安全组规则。确保安全组规则允许云主机实例和客户端之间互相访问。

本节为您介绍如何卸载源端主机上安装的agent。 操作场景 主机迁移已完成，且该主机不再需要继续迁移至另外的目标。 操作步骤 源端主机为windows系统 序号 步骤 详细说明 1 进入操作系统界面 2 打开"运行"对话框 按下Win+R组合键，调出运行栏。 3 进入卸载程序 键入"appwiz.cpl"，然后按回车。 4 卸载MoveCloud 找到MoveCloud x.x.x，其中x.x.x为版本号，如下图中的2.8.2，选中后右键点击卸载。 5 确认卸载 点击是以确认卸载， 等待卸载完成即可。 源端主机为linux系统 序号 步骤 详细说明 1 进入操作系统 2 卸载movecloud 执行movecloud uninstall即可完成卸载。

本章节主要介绍翼MR Manager的集群服务配置的查看操作。 操作步骤 1. 登录翼MR管理控制台。 2. 单击“我的集群”，单击指定的集群名称，进入集群信息页面。 3. 单击“翼MR Manager”tab，单击“前往翼MR Manager”。 4. 进入到翼MR Manager以后，单击菜单“集群服务”，进入集群服务列表页面。 5. 选择指定集群服务，单击集群服务名称进入集群服务详情页面。 6. 单击“配置管理”tab，即可查看该集群服务的所有配置。如图所示： 7. 对于隐私配置项，默认将加密展示，点击文本框右侧查看按钮，输入配置主密码即可查看。如果当前集群开通后未设置过主密码，请参考用户手册的配置管理主密码设置，设置主密码后，进行查看。 说明运维变量配置 在服务的default分组下，以vars.yaml后缀结尾的配置文件，为运维变量配置文件。运维变量配置文件不是服务本身的配置文件，而是存放Manager运维操作变量的文件，每个运维变量的含义如下表。 组件 运维变量名 是否建议修改 含义说明 HDFS activenamenode 否 部署时使用，在这台机器上执行format操作。 HDFS kdcmaster 否 部署和扩容时使用，kerberos的master节点，用于创建keytab文件。 HDFS ldapGuestPassword 否 部署和扩容时使用，连接ldap的guest用户密码，此权限只能查看用户，不能创建用户。 HDFS ldapuri 否 部署和扩容时使用，配置ldap的连接地址。 HDFS dfsclusterId 否 部署时使用，ns的默认值。 HDFS pipelinejobretrytimes 是 流水线重试次数。 HDFS jobretrybasedonpipelinetypes 否 自动重试的流水线类型。 YARN 无 共享HDFS运维变量。 ZooKeeper kerberosRealm 否 部署时使用，配置kerberos的realm的信息。 ZooKeeper kdcmaster 否 部署和扩容时使用，kerberos的master节点，用于创建keytab文件。 ZooKeeper zksuperuser 否 部署和扩容时使用，配置zk的超级用户。 ZooKeeper zksuperuserpasswd 否 部署和扩容时使用，配置超级用户的密码。 ZooKeeper componentuser 否 暂未使用。 ZooKeeper dataLogDir 否 部署时使用，需要通过ansbile创建目录。 ZooKeeper dataDir 否 部署时使用，需要通过ansbile创建目录。 Kerberos kerberosRealm 否 部署时使用，配置kerberos的realm的信息。 Kerberos kdcmaster 否 部署时使用，指定master节点，执行master节点的操作。 Kerberos kdcslave 否 部署时使用，指定slave节点，执行slave节点的操作。 Kerberos kerberosdatabasepasswd 否 部署时使用，配置kerberos的数据库密码。 Kerberos kerberosadminuser 否 部署时使用，配置kerberos的admin用户。 Kerberos kerberosadminpasswd 否 部署时使用，配置kerberos的admin用户密码。 OpenLDAP ldapmasterhostname 否 部署时使用，指定master节点，执行master节点的操作。 OpenLDAP ldapslavehostname 否 部署时使用，指定slave节点，执行slave节点的操作。 OpenLDAP olcRootDN 否 部署时使用，服务配置。 OpenLDAP olcSuffix 否 部署时使用，服务配置。 OpenLDAP ldapAdminPwd 否 部署时使用，admin用户的密码。 OpenLDAP ldapGuestPwd 否 部署时使用，guest用户的密码。 OpenLDAP ldapuri 否 部署时使用，ldap的连接信息。 OpenLDAP ldapBaseUgDN 否 部署时使用，服务配置。 OpenLDAP pipelinejobretrytimes 是 流水线重试次数。 OpenLDAP jobretrybasedonpipelinetypes 否 自动重试的流水线类型。 HBase kdcmaster 否 部署和扩容时使用，kerberos的master节点，用于创建keytab文件。 HBase pipelinejobretrytimes 是 流水线重试次数。 HBase jobretrybasedonpipelinetypes 否 自动重试的流水线类型。 Spark kdcmaster 否 部署时使用，kerberos的master节点，用于创建keytab文件。 Spark ldapmaster 否 部署时使用，ldap的master节点。 Spark eventlogdir 否 部署时使用，通过ansible创建目录。 Spark sparkhome 否 部署时使用，通过ansible创建目录。 Hive kdcmaster 否 部署时使用，kerberos的master节点，用于创建keytab文件。 Hive ldapmaster 否 部署时使用，ldap的master节点。 Hive databasepass 否 部署时使用，hive使用的数据库密码，需要用户填写。 Kafka kdcmaster 否 部署和扩容时使用，kerberos的master节点，用于创建keytab文件。 Kafka kerberosrealm 否 kerberos的realm的信息。 Kafka logdirs 否 （目前不再使用，通过从配置文件中渲染来创建目录）部署和扩容时使用，通过ansible创建目录。 Kafka pipelinejobretrytimes 是 流水线重试次数。 Kafka jobretrybasedonpipelinetypes 否 自动重试的流水线类型。 Kyuubi kdcmaster 否 部署时使用，kerberos的master节点，用于创建keytab文件。 Kyuubi ldapmaster 否 部署时使用，ldap的master节点。 Kyuubi kyuubilogdir 否 目录。部署时使用，通过ansible创建。 Kyuubi kyuubieventlogdir 否 目录。部署时使用，通过ansible创建。 Kyuubi kyuubiworkdir 否 目录。部署时使用，通过ansible创建。 Kyuubi adminuser 否 目录的属主。 Kyuubi usergroup 否 目录的属组。 Kyuubi pipelinejobretrytimes 是 流水线重试次数。 Kyuubi jobretrybasedonpipelinetypes 否 自动重试的流水线类型。 Flink kdcmaster 否 部署时使用，kerberos的master节点，用于创建keytab文件。 Flink ldapmaster 否 部署时使用，ldap的master节点。 Flink logDir 否 目录。部署时使用，通过ansible创建。 Flink HistoryServerDir 否 目录。部署时使用，通过ansible创建。 Flink pipelinejobretrytimes 是 流水线重试次数。 Flink jobretrybasedonpipelinetypes 否 自动重试的流水线类型。 Elasticsearch CERTNODE 否 部署时使用，指定证书节点，在节点上执行生成证书的操作。 Elasticsearch ESDATADIRS 否 目录。部署时使用，通过ansible创建。 Elasticsearch ESDEFAULTPASSWORD 否 部署时使用。默认的密码，随机密码。 Doris FEDEFAULTLEADERHOSTNAME 否 部署和扩容时使用，指定leader节点，在上面执行leader的相关操作。 Doris FEDEFAULTPASSWORD 是 部署时随机生成的Doris组件root密码。节点扩容需要使用该密码，如用户已修改，需要设置正确的值，否则会影响扩容操作。 Doris FEHTTPPORT 否 服务端口，不推荐修改。 Doris FEQUERYPORT 否 服务端口，不推荐修改。 Doris FEEDITLOGPORT 否 服务端口，不推荐修改。 Doris BESTORAGEROOTPATH 否 服务端口，不推荐修改。 Doris BEHEARTBEATSERVICEPORT 否 服务端口，不推荐修改。 Doris BROKERIPCPORT 否 服务端口，不推荐修改。 Trino datadir 否 目录。部署和扩容时使用，通过ansible创建。 Trino kerberosrealm 否 kerberos的realm的信息。 Trino kdcmaster 否 部署时使用，kerberos的master节点，用于创建keytab文件。 Trino ldapmaster 否 部署时使用，ldap的master节点。 Trino coordinator 否 部署和扩容时使用，指定主节点，在上面执行主节点的相关操作。 Trino uiuser 否 ui的用户。 Trino uipassword 否 ui的密码，部署时随机生成。 Trino serveruser 否 server的用户。 Trino serverpassword 否 server的密码，部署时随机生成。 Trino pipelinejobretrytimes 是 流水线重试次数。 Trino jobretrybasedonpipelinetypes 否 自动重试的流水线类型。 Ranger dbhost 否 外置数据库信息，需要用户填写。 Ranger dbname 否 外置数据库信息，需要用户填写。 Ranger dbuser 否 外置数据库信息，需要用户填写。 Ranger dbpassword 否 外置数据库信息，需要用户填写。 Ranger dbrootuser 否 部署时使用，ranger使用的外置数据库信息。 Ranger dbrootpassword 否 部署时使用，ranger使用的外置数据库信息。 Ranger rangerpassword 否 ranger admin用户密码。 Ranger SYNCLDAPBINDPASSWORD 否 部署时使用，ranger访问ldap的密码。 Ranger SYNCSOURCE 否 用户同步方式，ldap。 Ranger kerberosrealm 否 kerberos的realm的信息。 Ranger kdcmaster 否 部署时使用，kerberos的master节点，用于创建keytab文件。 Ranger SYNCLDAPURL 否 ldap相关信息。 Ranger POLICYMGRURL 否 ranger admin url信息。 Ranger separatedbamode 否 是否单独执行DBA，默认true，表示需要提前创建ranger使用的数据库和用户，并授权，不推荐修改。 Ranger pipelinejobretrytimes 是 流水线重试次数。 Ranger jobretrybasedonpipelinetypes 否 自动重试的流水线类型。 Knox kdcmaster 否 部署时使用，kerberos的master节点，用于创建keytab文件。 Logstash pipelinejobretrytimes 是 流水线重试次数。 Logstash jobretrybasedonpipelinetypes 否 自动重试的流水线类型。 JeekeFS kdcmaster 否 部署时使用，kerberos的master节点，用于创建keytab文件。 KafkaUI kdcmaster 否 部署时使用，kerberos的master节点，用于创建keytab文件。 KafkaUI ldapGuestPassword 否 部署时使用，Openldap的guest用户密码。 Pushgateway PUSHGATEWAYPASSWORD 否 部署时使用，Pushgateway服务的密码。 Pushgateway PUSHGATEWYUSERNAME 否 部署时使用，Pushgateway服务的用户名。 TezUI pipelinejobretrytimes 是 流水线job最大重试次数。 TezUI jobretrybasedonpipelinetypes 否 基于的流水线类型。

使用主机迁移服务时，需要注意本章介绍的约束与限制。 使用主机迁移服务时，对于源端服务器的约束与限制请参见下表。 表 源端服务器的约束和限制 项目 约束和限制 服务器规格 迁移Windows服务器要求源端和目的端规格大于1U1G。 迁移Linux服务器要求源端和目的端规格大于等于1U1G。 源端服务器数量 单个用户源端服务器限制1000台，如果有超过1000台的情况，请在服务器列表页面删除已完成迁移的服务器。 操作系统 支持迁移的Windows操作系统参见Windows兼容性列表。 支持迁移的Linux操作系统参见Linux兼容性列表。 不支持迁移多操作系统。 磁盘可用空间大小 Windows：当分区大于等于600MB，该分区的可用空间小于320MB时不能迁移；当分区小于600MB，该分区的空间小于40MB时不能迁移。 Linux：根分区可用空间小于200MB时不能迁移。 文件系统 Windows：只支持NTFS类型文件系统。 Linux：只支持ext2、ext3、ext4、vfat、xfs、btrfs文件系统。 共享文件系统 只支持迁移本地磁盘上的文件，不支持迁移共享文件系统。 例如：NFS（Network File System）、Common Internet File System、NAS（Network Attached Storage）等中的文件。 服务器外挂存储 不支持迁移服务器挂载的外部存储。 加密文件 不支持含有受保护文件夹、加密卷的系统。 多节点数据库和活动目录域（AD DS）服务器 主机迁移服务不支持AD和多节点数据库的服务器迁移。 数据库应用数据和域控制器应用数据 主机迁移服务只用于系统迁移，不支持数据库、域控制器等应用数据迁移。 应用与硬件绑定 不支持含有与硬件绑定的应用的系统。 动态磁盘 在Windows系统中，动态磁盘会当做基本磁盘来迁移，迁移完成后，目的端服务器不会有动态磁盘。 加入域的主机 迁移加入域主机时，在迁移完成后，目的端服务器需要重新加入域。 系统卷不在第一块磁盘的服务器 不支持迁移系统卷不在第一块磁盘上的服务器。 LVM精简卷（LV带pool标签） 不支持迁移服务器中的LVM精简卷（LV带pool标签）。 磁盘列阵（RAID） 不支持迁移磁盘列阵（RAID）场景。 大数据集群、容器集群 主机迁移服务只适用于系统迁移，不适用于包括但不限于容器集群、大数据集群等集群迁移。