本节为您介绍如何操作离线锁定/解锁。 操作场景 当前设备开启离线锁定功能后，如果设备的离线时间超过约定时长，系统将自动锁定设备。锁定后，无法通过该设备访问SDWAN相关服务。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 已经购买智能网关设备。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本节我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 选择“智能网关”，单击目标智能网关的实例名称，进入详情页。 5. 在详情页，单击“离线锁定”按钮。 6. 在离线锁定界面，设置离线时长，离线时间超过该时长后，系统将自动锁定设备。 7. 设置完锁定后，如果需要继续使用设备，需要先将设备解锁，同时确保设备在线。点击详情页“解锁”，在解锁界面，根据弹框提示，单击“确认”按钮，完成解锁设备。

绑定终端是指将策略应用到特定的终端上。创建策略后，必须将策略绑定到终端才会生效。 1. 登录大模型安全卫士实例。 2. 在菜单栏选择“策略管理 > 主机策略”，进入主机策略页面。 3. 选择需要绑定终端的策略，点击策略右侧的图标，选择“绑定终端”。 4. 在弹出的对话框中选择需要绑定的终端（将终端列表 中的终端移动至已选择端列表），单击“确定”，即可将终端绑定至本策略。

本文主要介绍DRDS控制台统计分析中的分片合理性分析功能。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择【产品 > 数据库 > 关系型数据库 > 分布式关系型数据库】，进入分布式关系型数据库产品页面。然后单击【管理控制台】，进入【概览】页面。 2. 在左侧导航栏，选择【DRDS > 统计分析】，进入SQL执行分析页面。然后在顶部菜单栏，选择区域和项目。 3. 单击导航栏的【分片合理性分析】，进入到分片合理性分析页面。 4. 在页面右上角选择【实例】下拉框（部分资源池位于左上角），可以选择需查看的目标实例。【schema】下拉框可以选择目标schema，并可对目标表名进行模糊查询。 5. 在分片合理性分析页面，可以查看目标实例在目标时间段内分片数据量合理性分析和分片访问量合理性分析，通过分析DRDS实例对应MySQL的存储情况和访问情况，提示用户分片策略是否合理，是否存在存储热点或访问热点。

本章介绍添加告警白名单后进程被隔离的原因。 告警白名单仅用于忽略告警，把当前告警事件加入告警白名单后，当再次发生相同的告警时不再进行告警。 隔离查杀恶意程序 方式一：在“安装与配置 > 安全配置 > 恶意程序隔离查杀”中，开启自动隔离查杀。 方式二：在“入侵检测 > 安全告警事件 > 主机安全告警 > 事件列表”中，将恶意程序手动隔离查杀。 隔离查杀后，该程序无法执行“读/写”操作，同时该程序的进程将被立即终止。HSS将程序或者进程的源文件加入文件隔离箱，被隔离的文件不会对主机造成威胁。 恢复隔离查杀文件 在“入侵检测 > 安全告警事件 > 已隔离文件”中，选择“主机安全告警”，单击“已隔离文件”的“查看详情”，单击目标服务器的“恢复”，恢复隔离文件。 被隔离查杀的程序恢复隔离后，文件的“读/写”权限将会恢复，但被终止的进程不会再自动启动起来。

本章节介绍如何创建一个注册配置中心实例,并改造一个微服务快速接入您创建的注册配置中心。 概述 注册配置中心提供多种类型的引擎，您可以按需创建满足您需求的服务实例，不需要部署和维护这些基础微服务组件，开发者可以完全专注微服务应用本身的开发。 以下步骤将演示创建一个注册配置中心实例，并改造一个微服务快速接入您创建的注册配置中心。演示中开通的引擎类型为Nacos。 创建一个注册配置中心实例 1. 首先，从天翼云官网控制中心> 微服务工具与平台 > 微服务引擎MSE，点击进入产品页面。 2. 左上角选择目标资源，这里以华东1为例，进入微服务引擎控制台。 3. 左侧菜单栏点击注册配置中心> 实例列表，进入注册配置中心控制台实例列表页面。 4. 点击实例列表左上角的创建实例跳转至产品订购页面。 5. 选择系列/引擎类型，实例规格，选择节点数量，选择子网、VPC和安全组后，点击确认订单。不同资源池节点订购方式有所不同，以具体功能页面为准。 6. 点击下一步、跳转至订单确认页面，点击确认提交订单，支付完成后等待5~10分钟，可以在控制台页面看到开通成功的实例。 进入实例的管理页面 实例开通完成后，进入实例列表页面，点击实例ID或者实例名称，即可进入实例的管理页面。 获取实例的内网连接地址，该地址就是您在VPC内部连接该Nacos引擎的访问地址。 另外基础信息还包括规格、磁盘、网络以及节点状态等一系列信息。

本文介绍启用CDN后同名文件如何进行更新。 使用天翼云CDN加速后，如果需要对同名文件进行更新，可以参照以下方法进行操作： 1. 建议源站内容不使用同名更新文件。将更新后的文件重命名为一个新的文件名，确保与原文件名称不同。例如，videov1.0.mp4、videov2.0.mp4；之后在您的网站代码或应用程序中更新链接或引用，将指向原文件的URL更改为指向更新后的文件的URL。这样，访问您的网站或应用程序时将获取到最新的文件。 2. 如果必须使用同名更新文件，可以从控制台或API接口提交刷新请求，参考控制台刷新指引：刷新，或对外API接口案例：创建刷新任务。 3. 使用CDN刷新功能后，访问的资源如没有更新，可能的原因及解决方案如下： 使用CDN刷新虽然清除了CDN缓存，但是受到浏览器缓存的影响，导致访问到旧的资源。此时可尝试清理浏览器缓存，然后刷新页面，查看资源是否更新。 源站的资源没有更新，本身就是旧的资源。可将域名直接绑定源站（通过修改本地host的方式），直接访问源站，检查源站的资源是否更新。如果资源没有更新，请更新源站的资源，再在CDN加速控制台提交刷新任务。 刷新任务没有执行完毕。可检查刷新预取任务是否执行完毕，如果没有执行完毕，建议等任务执行成功后再进行测试。

接口功能介绍 以主机维度基线事件列表 接口约束 此功能为收费功能。确认已经购买系统配额，并且开启基线扫描配置。如果没有购买配额，可按照页面提示进行购买。如果没有开启防护，请在服务器列表页开启机器防护 URI POST /v1/sca/event/host// 路径参数 参数 是否必填 参数类型 说明 示例 下级对象 currentNum 是 Integer pageSize 是 Integer Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 scaName 否 String 基线名称 Unix系统基线检测 agentGuid 是 String agentGuid testagentguid 响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Object 返回对象 returnObj traceId String traceId asaadasd11111 statusCode String 状态码 200成功 200 表 returnObj 参数 参数类型 说明 示例 下级对象 total Integer 总数 100 list Array of Objects 结果集 list pageNum Integer 当前页 1 pageSize Integer 每页的数量 10 表 list 参数 参数类型 说明 示例 下级对象 id String 业务id 一级列表[基线模板文件名] 二级列表[agentGuid] 三级列表[检测id] CtyunLinuxBenchmarkTemplate.json failed Integer 检测项未通过数 1 itemTotal Integer 检测项总数 1 file String 基线检测文件名 CtyunLinuxBenchmarkTemplate.json passed Integer 检测项通过数 1 totalChecks Integer 检测项总数 1 strategyId Integer 策略id 1 timestamp String 扫描时间 20200101 00:00:00 scaId Integer 基线模板id 1 name String 基线模板名称 天翼云Linux操作系统安全配置基线 agentGuid String agentGuid testagentguid riskInfo Array of Objects 风险信息，按等级分类统计 [{"riskLevel":1,"riskCount":1}] riskInfo 表 riskInfo 参数 参数类型 说明 示例 下级对象 riskLevel Integer 风险等级 1低危 2中危 3高危 1 riskCount Integer 风险数量 1

操作场景 您可以查看并行文件系统的基本信息，支持按文件系统名称关键字过滤条件查看指定的文件系统。 操作步骤 1. 登录天翼云控制中心，单击管理控制台左上角的，选择地域。 2. 选择“存储>并行文件服务HPFS”，进入并行文件服务的控制台页面。 3. 在文件系统列表页查看所有文件系统的基本信息，参数说明如下表所示。 4. 点击文件系统名称，可以跳转至文件系统详情页，查看更多文件系统信息，以及监控图表等页签。 参数 说明 名称 文件系统名称，创建时设置的名称，只能由数字、字母、短横线组成，不能以数字和短横线开头、且不能以短横线结尾。 ID 文件系统ID，自动生成，不支持修改。 状态 文件系统的状态，包含正在创建、可用、已冻结、创建失败，账户欠费可导致资源为已冻结状态。 监控实例ID 监控实例ID，用于此文件系统在云监控服务查询监控数据的ID。 协议类型 文件系统的协议类型，包括HPFSPOSIX。 存储类型 文件系统的类型，包括HPC性能型。 集群 文件系统所属的集群，部分资源池的并行文件服务，需要在创建文件系统的时候指定“集群”。 性能规格 文件系统的性能规格，部分资源池的并行文件服务，需要在创建文件系统的时候指定“性能规格”，如200MB/s/TB。 创建时间 文件系统的创建时间。 总容量 文件系统创建的总容量。 已用容量 文件系统内已写入数据的容量，四舍五入。 付费方式 文件系统的付费方式，目前只支持按量付费。 可用区 文件系统所在的可用区。 企业项目 文件系统归属的企业项目。 操作 对文件系统的具体操作，包括扩容、删除等。

本文向您介绍通过企业版VPN实现云上云下网络互通（双活模式）的操作步骤。 前提条件 云侧 请确认虚拟私有云VPC已经创建完成。 请确认虚拟私有云VPC的安全组规则已经配置，ECS通信正常。 如果通过企业路由器ER关联VPN网关，请确认企业路由器ER已经创建完成。 数据中心侧 用户数据中心的VPN设备已经完成IPsec连接相关配置。 操作步骤 VPN服务支持静态路由模式、BGP路由模式和策略模式三种连接模式。本示例以静态路由模式进行配置讲解。 1. 登录管理控制台，单击“网络 > VPN”进入VPN控制台。 2. 配置VPN网关： 1. 在左侧导航栏，单击“虚拟专用网络 > 企业版VPN网关”。 2. 在“VPN网关”界面，单击“创建VPN网关”，并根据界面提示配置参数。 3. VPN网关参数说明如表11所示。 表VPN网关参数说明 参数 说明 取值参数 名称 VPN网关的名称。 vpngw001 网络类型 选择“公网”。 公网 关联模式 选择“虚拟私有云”。 关联ER场景时，请选择“企业路由器”。 虚拟私有云 企业路由器 仅关联场景为“企业路由器”时需要选择。 er001 虚拟私有云 选择用于分配互联子网的VPC。 关联场景为“企业路由器”时，该VPC可以对接ER，也可以不对接ER。 vpc001(192.168.0.0/16) 互联子网 用于VPN网关和VPC通信，请确保选择的互联子网存在4个及以上可分配的IP地址。 192.168.2.0/24 本端子网 仅关联场景为“虚拟私有云”时需要配置。 输入网段 输入需要和用户数据中心通信的子网，该子网可以在关联VPC内，也可以不在关联VPC内。 选择子网 选择关联VPC内的子网信息，用于和用户数据中心通信。 192.168.0.0/24，192.168.1.0/24 BGP ASN BGP自治系统编号。 64512 HA模式 选择“双活”。 双活 主EIP VPN网关和用户数据中心通信的公网IP1。 1.1.1.2 主EIP2 VPN网关和用户数据中心通信的公网IP2。 2.2.2.2 3. 配置对端网关： 1. 在左侧导航栏，单击“虚拟专用网络 > 企业版对端网关”。 2. 在“VPN对端网关”界面，单击“创建对端网关”，并根据界面提示配置参数。

本文带您了解VPC终端节点的功能特性。 VPC终端节点为您提供“终端节点服务”和“终端节点”两种资源。 终端节点服务 终端节点服务（VPC Endpoint Service）指将云服务或用户私有服务配置为VPC终端节点支持的服务。终端节点服务通过专属网关，可以将 VPC 中的服务方便的提供给其它 VPC 中的资源使用，实现跨 VPC 的访问，而不必暴露服务端VPC内部的的网络信息，使您的访问更加安全、可靠。当前支持“接口”类型终端节点服务。 用户可通过创建“接口”类型终端节点服务，实现在指定的白名单用户间服务私有共享。 终端节点服务允许用户快速将其服务发布到内部网络，通过白名单授权管理，确保在确保安全的前提下，能够灵活地管理可访问的用户。这种方式可以使用户能够方便地通过内部网络共享服务。 终端节点 终端节点（VPC Endpoint）在VPC和终端节点服务之间提供连接通道。您可以使用终端节点连接在VPC中自己创建终端节点服务后端应用程序，也可以通过终端节点连接天翼云提供原生服务，天翼云终端节点支持“接口”和“反向”两种类型终端节点 。 “接口”类型终端节点：是具备私有IP地址的弹性网络接口，“接口”类型终端节点可作为VPC用户访问云服务入口，为VPC提供主动访问云服务能力，"接口"类型终端节点可连接自建服务，也可以连接天翼云云提供的原生服务。 "反向"类型终端节点：同样是具备私有IP地址的弹性网络接口，"反向"类型终端节点为服务主动访问用户VPC资源的出口，服务可通过此类型终端节点主动访问VPC内的资源。

本节为您介绍云迁移服务CMS中数据库迁移工具使用流程。 使用数据库迁移工具，您需在迁移源数据库、目标数据库和数据库迁移工具控制台进行操作。迁移源数据库和目标数据库，需打通与节点的网络；通过数据库迁移工具控制台进行后续的任务配置等操作。 数据库迁移工具中迁移评估/数据迁移/数据同步/数据订阅服务流程总览如下图所示： 数据库传输工具中的迁移任务需要将数据库源端和目标端与子节点网络打通，具体请见组网视图：

参数 参数类型 说明 示例 下级对象 createTime String 开始时间 20220610 10:10:10 finishTime String 结束时间 20220610 10:10:10 osType String {LINUXLINUX, WINDOWSWINDOWS, WEBCMSWEBCMS, APPLICATIONAPPLICATION, EMERGENCYVULEMERGENCYVUL} LINUX,WINDOWS taskType String 扫描类别 1定时检测 其它立即检测 1 vulRisk Integer 漏洞风险数 0 hostRisk Integer 风险主机数 0 vulHost Integer 目标检测主机数 0

天翼云为您提供渗透测试服务等级协议说明，请您点击查看。 天翼云渗透测试服务协议（新） 自2021年11月11日起，新版天翼云渗透测试服务协议生效。 天翼云渗透测试服务协议（旧）

查看实例事件 1. 登录应用托管控制台，在左侧导航栏单击【应用实例】，点击应用实例名称进入详情页。 2. 选择组件，点击【事件】，可查看该应用实例的最近一个小时事件信息，支持切换实例。 查看变更记录 1. 登录应用托管控制台，在左侧导航栏单击【应用实例】，点击应用实例名称进入详情页。 2. 点击【变更记录】按钮，可查看该应用实例的操作变更记录。 查看依赖管理信息 1. 登录应用托管控制台，在左侧导航栏单击【应用实例】，点击应用实例名称进入详情页。 2. 点击【依赖管理】按钮，可查看该应用实例的依赖管理信息。 3. 点击【管理依赖组件】按钮，可对组件进行更新管理，查看组件依赖名称、链接信息及更新时间。 修改应用实例名称 1. 进入应用实例列表页：登录天翼云控制台，进入「应用托管」→「应用实例」页面，在「公共应用资源」标签下查看所有应用实例。 2. 将鼠标移至目标应用实例的「实例名称 / ID」列，名称右侧将显示编辑图标，点击【编辑】图标，弹出「应用实例别名」输入框。 注意：输入别名内容，长度限制为 4–32 字符，系统将自动校验别名唯一性，若与历史别名重复则提示错误，需重新输入。 3. 点击【确定】完成修改，列表页将更新别名名称；点击【取消】则放弃本次操作。 4. 支持搜索修改后的实例别名名称。

本文介绍如何关闭加速服务。 如果客户的网站因业务变更需要关闭全站加速服务，可以通过客户控制台对域名进行停用或者删除操作。 停用域名和删除域名的区别： 操作 说明 停用域名 对域名进行停用操作后，天翼云会将加速域名的CNAME入口解析至客户源站地址，控制台上域名状态变更为【已停止】。 对域名进行停用操作后，节点会立即删除配置，但仍会在系统数据库中保留原来的配置记录，可再次对域名进行【启用】操作。 删除域名 对域名进行删除操作后，天翼云会直接删除加速域名在节点的配置，域名对应CNAME入口地址失效，此时域名请求如果仍访问至节点，则会响应403。 注意事项 停用全站加速域名前，为了避免停用导致业务中断，客户需要确保已将域名DNS解析记录由原来CNAME至天翼云全站加速入口，调整为解析至其他CNAME或A记录。该调整完成后，可以通过客户控制台统计分析模块确认域名是否还有流量。如果域名已经没有流量，可以开始操作停用流程。 域名需先停用后才能进行删除操作，域名删除后将无法再启用。 操作步骤 停用全站加速域名 1. 登录客户控制台。 2. 左侧导航栏单击选择【域名管理】。 3. 单击【域名列表】，选择对应域名，操作列点击【更多】可看到【停用】按钮。 4.单击【停用】按钮，跳出【停用确认】框，点击【确认停用】后进入停用流程。 如您需要删除已停用域名，等待停用域名流程完成后继续按如下删除加速域名的流程进行操作。

本节主要介绍OBS的使用限制。 访问带宽和QPS 限制项 说明 :: 带宽 单个天翼云账号内网默认的读写（GET/PUT）带宽上限是16Gbit/s； 单个天翼云账号公网默认的读写（GET/PUT）带宽上限是1Gbit/s； 如果您的业务有更大的带宽需求，请提交工单申请。 每秒请求数（Query Per Second, QPS） 单个天翼云帐号默认的写请求（PUT Object）上限是6000请求每秒。 单个天翼云帐号默认的读请求（GET Object）上限是10000请求每秒。 单个天翼云帐号默认的列举类请求（LIST）上限是1000请求每秒。 说明 如果用户在对象命名规则上使用了顺序前缀（如时间戳或字母顺序），可能导致大量对象的请求访问集中于某个特定分区，造成访问热点，会使热点分区上的请求速率受限，访问时延上升。推荐使用随机前缀对象名，这样请求就会均匀分布在多个分区，达到水平扩展的效果。使用随机前缀对象名的方法。如果您的业务有更大的QPS需求，请提交工单申请。 资源相关限制 限制项 说明 :: 访问规则 OBS基于DNS解析性能和可靠性的考虑，要求凡是携带桶名的请求，在构造URL的时候都必须将桶名放在domain前面，形成三级域名形式，又称为虚拟主机访问域名。例如，如果您有一个位于gz1区域的名为testbucket的桶，期望访问桶中一个名为testobject对象的acl，正确的访问URL为< 桶 在OBS中，桶名必须是全局唯一的且不能修改，即用户创建的桶不能与自己已创建的其他桶名称相同，也不能与其他用户创建的桶名称相同。 桶创建成功后，桶名、所属区域和数据冗余存储策略均不允许修改。 一个帐号及帐号下的所有IAM用户可创建的桶+并行文件系统的上限为100个。建议结合OBS细粒度权限控制能力，合理进行桶规划和使用。例如，建议在桶内根据对象前缀划分不同的目录，通过细粒度权限控制实现不同目录在不同业务部门之间的权限隔离。 默认情况下，OBS系统和单个桶都没有总数据容量和对象数量的限制。 删除桶之前必须确保桶内所有对象已彻底删除。 用户删除桶后，需要等待30分钟才能创建同名桶和并行文件系统。 上传对象 OBS管理控制台支持批量上传文件，单次最多支持100个文件同时上传，总大小不超过5GB。如果只上传1个文件，则这个文件最大为5GB。 OBS Browser+、obsutil、API和SDK上传的单个对象最大是48.8TB。 支持批量上传功能需要满足以下条件： OBS桶的版本号为“3.0”。 在未开启多版本控制功能的情况下，如果新上传的文件和桶内文件重名，则新上传的文件会自动覆盖老文件，且不会保留老文件的ACL等信息；如果新上传的文件夹和桶内文件夹重名，则上传后会将新老文件夹合并，合并过程如遇重名文件，会使用新上传的文件夹中的文件进行覆盖。 在开启了多版本控制功能的情况下，如果新上传的文件和桶内文件重名，则会在老文件上新增一个版本。 对象键（对象名）虽然可以使用任何UTF8字符，但是建议按照对象键命名指导原则进行命名，有助于最大程度符合DNS、Web安全字符、XML分析器和其他API的要求。 删除对象 桶没有开启多版本控制功能时，对象删除后不可恢复，请谨慎操作。

本节针对企业主机安全的基线检查和整改的最佳实践进行介绍。 企业主机安全HSS每日凌晨会自动执行基线检查，待检查完成后，可查看并修复配置、弱口令风险。 整改弱口令 “账号暴力破解攻击”是最常见的入侵方式之一，当主机中存在弱口令时，极易被攻击方通过弱口令完成入侵，因此弱口令风险需要优先修复。 企业主机安全HSS支持SSH、FTP、MYSQL类型弱口令，系统中应用的弱口令或默认口令需要您自行排查，如nacos、weblogic等。 步骤： 1、登录管理控制台。 2、选择页面左上角的按钮，选择“企业主机安全”，进入主机安全平台界面。 3、选择左侧导航树的“风险预防 > 基线检查”，进入基线检查界面。 4、在“经典弱口令”页签，查看检测出的弱口令。 5、登录所有含弱口令的主机，修改弱口令。 整改配置检查高风险项 1、登录管理控制台。 2、选择页面左上角的按钮，选择“企业主机安全”，进入主机安全平台界面。 3、在左侧导航树中，选择“风险预防 > 基线检查”，进入基线检查界面。 4、选择“配置检查”页签，查看并修复所有高风险基线。 单击基线名称，进入基线详情页面。 选择“ 检查项 > 未通过 ”页签，单击高风险检查项所在行 “操作” 列的 “检测详情”，查看修改建议。 按建议修改完成后，单击操作列的“验证”，验证修改结果。

解绑ELB 1. 进入微服务引擎MSE控制台； 2. 在顶部菜单栏选择资源池； 3. 单击左侧导航栏云原生网关 > 网关列表 ； 4. 您可以在网关列表页单击需要查看的网关实例ID或者 实例名称 ，也可以单击操作列中的管理按钮； 5. 在网关详情页下方网关入口ELB列表区域，您可以单击操作列 解绑ELB ；

本文介绍如何启停应用。 停止运行中的应用，应用将无法访问，状态显示为“已暂停”。 应用停止后，可直接将其启动。 操作步骤 1.登录云容器引擎控制台，单击左侧导航栏的【工作负载】>【无状态】或【有状态】； 2.单击运行中应用后的【更多】>【暂停】，停止运行中的应用； 3.单击已暂停应用后的【启动】，启动已停止的应用。

本章节主要介绍翼MapReduce组件Spark使用时的常见问题。 Spark 任务内存不足情况需要根据具体问题进行具体分析。 首先spark统一内存模型将内存分为offheap和heap两部分内存，每一个部分都可能发生内存不足的情况。 offheap内存不足的情况 offheap内存作用 为了进一步优化内存的使用以及提高 Shuffle 时排序的效率，Spark 引入了堆外（Offheap）内存，使之可以直接在工作节点的系统内存中开辟空间，存储经过序列化的二进制数据。 利用JDK Unsafe API（从 Spark 2.0 开始，在管理堆外的存储内存时不再基于 Tachyon，而是与堆外的执行内存一样，基于 JDK Unsafe API 实现），Spark 可以直接操作系统堆外内存，减少了不必要的内存开销，以及频繁的 GC 扫描和回收，提升了处理性能。堆外内存可以被精确地申请和释放，而且序列化的数据占用的空间可以被精确计算，所以相比堆内内存来说降低了管理的难度，也降低了误差。 offheap参数和动态扩展机制 Spark堆外内存的大小可以由spark.memory.offHeap.size控制，spark offheap空间只分为 execution 和 storage 1:1两部分，两部分可以动态扩展。 offheap不足 目前常用的offheap常见是 executor端，map task侧 shuffle时候，由于ShuffleExternalSorter占用内存过大，导致内存不足。 此外，在spark native场景中，spark将更多的使用 spark offheap内存取代heap内存，因此spark offheap在非shuffle场景下也会占用很多offheap内存。 如果存在offheap 内存不足警告，可以酌情添加spark.memory.offHeap.size 或者 降低shuffle 内存缓冲区大小。 heap内存不足的情况 spark将heap内存做如下分割 每一个部分超出使用上线都可能产生内存不足的情况。

本章节主要介绍翼MapReduce的修改服务自定义配置参数操作。 操作场景 MRS集群各个组件支持开源的所有参数，其中部分关键使用场景的参数支持在FusionInsight Manager界面进行修改，且部分组件的客户端可能不包含开源特性的所有参数。如果需要修改其他Manager未直接支持的组件参数，管理员可以在Manager通过自定义配置项功能为组件添加新参数。添加的新参数最终将保存在组件的配置文件中并在重启后生效。 对系统的影响 配置服务属性后，如果服务状态为“配置过期”，则需要重启此服务，重启期间该服务不可用。 修改服务配置参数并重启生效后，需要重新下载并安装客户端，或者下载配置文件刷新客户端。 前提条件 管理员已充分了解需要新添加的参数意义、生效的配置文件以及对组件的影响。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“集群 > 待操作集群的名称 > 服务”。 3. 单击服务视图中指定的服务名称。 4. 选择“配置 > 全部配置”。 5. 在左侧导航栏定位到某个一级节点，并选择“自定义”，Manager将显示当前组件的自定义参数。 “参数文件”显示保存管理员新添加的自定义参数的配置文件。每个配置文件中可能支持相同名称的开源参数，设置不同参数值后生效结果由组件加载配置文件的顺序决定。自定义参数支持服务级别与角色级别，请根据业务实际需要选择。不支持单个角色实例添加自定义参数。 6. 在对应参数项所在行“名称”列输入组件支持的参数名，在“值”列输入此参数的参数值。 支持单击“＋”或“－”增加或删除一条自定义参数。 7. 单击“保存”，在弹出的“保存配置”窗口中确认修改参数，单击“确定”。界面提示“操作成功。”，单击“完成”，配置保存成功。 保存完成后请重新启动配置过期的服务或实例以使配置生效。

本章节主要介绍翼MapReduce的管理客户端操作。 操作场景 FusionInsight Manager支持统一管理集群的客户端安装信息，用户下载并安装客户端后，界面可自动记录已安装（注册）客户端的信息，方便查询管理。同时系统支持手动添加、修改未自动注册的客户端信息（如历史版本已安装的客户端）。 操作步骤 查看客户端信息 1. 登录FusionInsight Manager。 2. 选择“集群 >待操作集群的名称 > 客户端管理”，即可查看当前集群已安装的客户端信息。 用户可查看客户端所在节点的IP地址、安装路径、组件列表、注册时间及安装用户等信息。 在当前最新版本集群下载并安装客户端时，客户端信息会自动注册。 添加客户端信息 3. 如需手动添加已安装好的客户端信息，单击“添加”，根据界面提示手动添加客户端的IP地址、安装路径、用户、平台信息、注册信息等内容。 4. 配置好客户端信息，单击“确定”，添加成功。 修改客户端信息 5. 手动注册的客户端信息可以手动修改。 在“客户端管理”界面选择待修改的客户端，单击“修改”。修改信息后，单击“确定”完成修改。 删除客户端信息 6. 在“客户端管理”界面选择待删除的客户端，单击“删除”，在弹出的窗口中单击“确定”，即可删除客户端信息。 如需删除多个客户端信息，勾选待删除的客户端，单击“批量删除”，在弹出的窗口中单击“确定”，即可删除客户端信息。 导出客户端信息 7. 在“客户端管理”界面选择待操作的客户端，单击“导出全部”可导出所有已注册的客户端信息到本地。 说明 客户端管理界面上组件列表栏只展示有真实客户端的组件，因此部分没有客户端的组件和客户端特殊的组件不会显示在组件列表栏。 不显示的组件有： LdapServer、KrbServer、DBService、Hue、Mapreduce、Flume。 不显示的组件有： LdapServer、KrbServer、DBService、Hue、Mapreduce、Flume。

本章节主要介绍翼MapReduce的多租户管理页面概述操作。 统一的多租户管理 登录FusionInsight Manager，选择“租户资源 > 租户资源管理”，可以查看到FusionInsight Manager作为统一的多租户管理平台，集成了租户生命周期管理、租户资源配置、租户服务关联和租户资源使用统计等功能，为企业提供了成熟的多租户管理模型，实现集中式的租户和业务管理。 图形化的操作界面 FusionInsight Manager实现全图形化的多租户管理界面：通过树形结构实现多级租户的管理和操作，将当前租户的基本信息和资源配额集成在一个界面中，方便运维和管理，如下图所示多租户管理。 层级式的租户管理 FusionInsight Manager支持层级式的租户管理，可以为租户进一步添加子租户，实现资源的再次配置。一级租户下一级的子租户属于二级租户，以此类推。为企业提供了成熟的多租户管理模型，实现集中式的租户和业务管理。 简化的权限管理 FusionInsight Manager对普通用户封闭了租户内部的权限管理细节，对管理员简化了权限管理的操作方法，提升了租户权限管理的易用性和用户体验。 使用RBAC方式，在多租户管理时，可根据业务场景为各用户分别配置不同权限。 租户的管理员，具有租户的管理权限，包括：查看当前租户的资源和服务、在当前租户中添加/删除子租户并管理子租户资源的权限。支持定义单个租户的管理员，可以将租户的管理权限委托给系统管理员之外的其他用户。 租户对应的角色，具有租户的计算资源和存储资源的全部权限。创建租户时，系统自动创建租户对应的角色，可以添加用户并绑定该角色为其他用户授权，以使用该租户的资源。

本章节主要介绍翼MapReduce的修改OMS服务配置参数操作。 操作场景 根据用户环境的安全要求，管理员可以在FusionInsight Manager修改OMS中Kerberos与LDAP配置。 对系统的影响 修改OMS的服务配置参数后，需要重启对应的OMS模块，此时FusionInsight Manager将无法正常使用。 操作步骤 修改okerberos配置 1. 登录FusionInsight Manager，选择“系统 > OMS”。 2. 在okerberos所在行，单击“修改配置”。 3. 根据下表所示的说明修改参数。 okerberos参数配置一览表 参数名 说明 连接KDC最大时延（毫秒） 应用连接到Kerberos的超时时间，单位为毫秒，请填写整数值。 最大尝试次数 应用连接到Kerberos的最大重试次数，请填写整数值。 操作Ldap最大时延（毫秒） Kerberos连接LDAP的超时时间，单位为毫秒。 搜索Ldap最大时延（毫秒） Kerberos在LDAP查询用户信息的超时时间，单位为毫秒。 Kadmin监听端口 kadmin服务的端口。 KDC监听端口 kinit服务的端口。 Kpasswd监听端口 kpasswd服务的端口。 4. 单击“确定”。 在弹出窗口输入当前登录用户密码验证身份，单击“确定”，在确认重启的对话框中单击“确定”。 修改oldap配置 5. 在oldap所在行，单击“修改配置”。 6. 根据下表所示的说明修改参数。 oldap参数配置一览表 参数名 说明 Ldap服务监听端口 LDAP服务端口号。 7. 单击“确定”。 在弹出窗口输入当前登录用户密码验证身份，单击“确定”，在确认重启的对话框中单击“确定”。 说明 如果重置LDAP帐户口令需要重启ACS，操作步骤如下： 使用PuTTY，以omm用户登录主管理节点，执行以下命令更新域配置： sh ${BIGDATAHOME}/omserver/om/sbin/restartRealmConfig.sh复制 提示以下信息表示命令执行成功： Modify realm successfully. Use the new password to log into FusionInsight again.复制 执行 sh $CONTROLLERHOME/sbin/acscmd.sh stop ，停止ACS。 执行 sh $CONTROLLERHOME/sbin/acscmd.sh start ，启动ACS。

本章主要介绍翼MapReduce的解锁系统内部用功能。 操作场景 若服务出现异常状态，有可能是系统内部用户被锁定，请及时解锁，否则会影响集群正常运行。系统内部用户列表请参见用户帐号一览表。系统内部用户无法使用FusionInsight Manager解锁。 前提条件 根据用户帐号一览表获取LDAP管理员“cnroot,dchadoop,dccom”的默认密码。 操作步骤 1.使用以下方法确认系统内部用户是否被锁定： a.查询oldap端口： 登录FusionInsight Manager，选择“系统 > OMS > oldap > 修改配置”。 “Ldap服务监听端口”参数值即为oldap端口。 b.查询域名方法： 登录FusionInsight Manager，选择“系统 > 权限 > 域和互信”。 “本端域”参数即为域名。 例如当前系统域名为“9427068F6EFA4833B43E60CB641E5B6C.COM”。 c.在集群内节点上以omm用户执行以下命令查询密码认证失败次数： ldapsearch H ldaps://OMS浮动IP地址:OLdap端口 LLL x D cnroot,dchadoop,dccom b krbPrincipalName系统内部用户名@当前域名,cn当前域名,cnkrbcontainer,dchadoop,dccom w LDAP管理员密码 e ppolicy grep krbLoginFailedCount 例如，查看oms/manager用户认证失败次数： ldapsearch H ldaps://10.5.146.118:21750 LLL x D cnroot,dchadoop,dccom b krbPrincipalNameoms/manager@9427068F6EFA4833B43E60CB641E5B6C.COM,cn9427068F6EFA4833B43E60CB641E5B6C.COM,cnkrbcontainer,dchadoop,dccom w cnroot,dchadoop,dccom 用户密码 e ppolicy grep krbLoginFailedCount krbLoginFailedCount: 5 d.登录FusionInsight Manager，选择“系统 > 权限 > 安全策略 > 密码策略”。 e.查看“密码连续错误次数”参数值，若小于等于“krbLoginFailedCount”参数值，则用户已被锁定。 说明 查看运行日志，也可以确认系统内部用户是否被锁定。 2.以omm用户登录主管理节点，执行以下命令解锁。 sh ${BIGDATAHOME}/omserver/om/share/om/acs/config/unlockuser.sh userName 系统内部用户名 例如， sh ${BIGDATAHOME}/omserver/om/share/om/acs/config/unlockuser.sh userName oms/manager

本章节主要介绍翼MapReduce的入服与退服实例操作。 操作场景 部分角色实例以分布式并行工作的方式对外部业务提供服务，服务会单独保存每个实例是否可以使用的信息，所以需要使用FusionInsight Manager为这些实例执行入服或退服的操作，变更实例的业务可用状态方式。 不支持该此功能的实例，默认无法执行任务。 说明 当前支持退服和入服操作的角色有：HDFS的DataNode、Yarn的NodeManager、HBase的RegionServer。 当DataNode数量少于或等于HDFS的副本数时，不能执行退服操作。若HDFS副本数为3时，则系统中少于4个DataNode，将无法执行退服，Manager在执行退服操作时会等待30分钟后报错并退出执行。 由于Mapreduce任务执行时，会生成一些副本数为10的文件，此时若DataNode实例数少于10时，将无法进行退服操作。 如果退服前，DataNode节点的机架数（机架数由各DataNode节点所配置的“机架”的名称数量决定）大于1；而退服部分DataNode后，剩余的DataNode节点的机架数变为1，则此次退服将会失败。所以需要在退服前评估退服操作对机架数的影响，以调整退服的DataNode节点。 在退服多个DataNode时，如果每个DataNode存储的数据量较大，如果执行选择多个DataNode同时退服，则很有可能会因超时而退服失败。为了避免这种情况，建议每次退服仅退服1个DataNode，进行多次退服操作。 操作步骤 1. DataNode节点退服前需要进行健康检查，步骤如下： 使用客户端用户登录客户端安装节点，并切换到客户端安装目录。 如果是安全集群，需要使用hdfs用户进行权限认证。 source bigdataenv

本章节介绍云容器集群Pod网络包重复故障演练。 背景介绍 在 CCE 集群中，网络异常可能导致数据包被重复发送，既消耗带宽和 CPU，也可能触发非幂等业务的重复执行。本演练用于模拟此场景并验证系统的处理能力与幂等性。 基本原理 通过增加TC和Netem规则模拟Pod内网络包重复。 注意 只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败。 风险告知 此演练具有高度破坏性，请务必在充分了解其风险后，谨慎操作，强烈建议通过动作参数，控制网络故障注入的影响范围。 通信中断 ：网络包乱序影响探针程序与控制面的通信，此时该演练任务的状态极有可能显示为执行失败或恢复，但这恰恰是故障注入成功的表现。 无法自愈 ：超时机制可能失效，因为执行恢复动作同样需要通过网络通讯。 恢复方式 ：最可靠的恢复方法是通过云容器引擎 控制台，对目标实例节点执行强制重启操作。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的pod列表。 5. 在弹出的对话框中，单击添加pod。 6. 勾选您希望进行故障演练的一个或多个pod ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。

本章节介绍云容器集群Pod网络包损坏故障演练。 背景介绍 数据包在物理链路噪声、设备故障或攻击下可能被篡改并在校验和检查中被丢弃，引发频繁重传、延迟上升和吞吐下降。本演练模拟这种数据包损坏场景，用于评估应用在恶劣网络条件下的鲁棒性。 基本原理 通过增加TC和Netem规则模拟Pod内网络包损坏。 注意 只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败。 风险告知 此演练具有高度破坏性，请务必在充分了解其风险后，谨慎操作，强烈建议通过动作参数，控制网络故障注入的影响范围。 通信中断 ：网络包乱序影响探针程序与控制面的通信，此时该演练任务的状态极有可能显示为执行失败或恢复，但这恰恰是故障注入成功的表现。 无法自愈 ：超时机制可能失效，因为执行恢复动作同样需要通过网络通讯。 恢复方式 ：最可靠的恢复方法是通过云容器引擎 控制台，对目标实例节点执行强制重启操作。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的pod列表。 5. 在弹出的对话框中，单击添加pod。 6. 勾选您希望进行故障演练的一个或多个pod ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。

本章节介绍云容器集群Pod网络包损坏故障演练。 背景介绍 数据包在物理链路噪声、设备故障或攻击下可能被篡改并在校验和检查中被丢弃，引发频繁重传、延迟上升和吞吐下降。本演练模拟这种数据包损坏场景，用于评估应用在恶劣网络条件下的鲁棒性。 基本原理 通过增加TC和Netem规则模拟Pod内网络包损坏。 注意 只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败。 风险告知 此演练具有高度破坏性，请务必在充分了解其风险后，谨慎操作，强烈建议通过动作参数，控制网络故障注入的影响范围。 通信中断 ：网络包乱序影响探针程序与控制面的通信，此时该演练任务的状态极有可能显示为执行失败或恢复，但这恰恰是故障注入成功的表现。 无法自愈 ：超时机制可能失效，因为执行恢复动作同样需要通过网络通讯。 恢复方式 ：最可靠的恢复方法是通过云容器引擎 控制台，对目标实例节点执行强制重启操作。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的pod列表。 5. 在弹出的对话框中，单击添加pod。 6. 勾选您希望进行故障演练的一个或多个pod ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。

配置检测规则 1. 登录大模型安全卫士实例。 2. 在菜单栏选择“主机安全 > 风险账户检测”。 3. 选择“字典匹配”页签，新增自定义规则或使用内置弱口令规则。 风险账户检查 1. 登录大模型安全卫士实例。 2. 在菜单栏选择“主机安全 > 风险账户检测”。 3. 选择“风险账户检查”页签，选择检查范围及检查类型后，单击“立即检查”。 4. 如下图所示，可显示风险账户及弱口令检测结果。

您的备案信息填写完毕提交后，需经过天翼云初审和管局审核，各审核环节注意事项如下： 天翼云审核： 1.备案电话保持畅通：在您提交备案申请后，天翼云审核专员会在1工作日左右拨打您的电话号码，请您保持电话畅通并注意接听来电。 2.资料补充：天翼云初审时，审核人员会根据各省市管局要求或者依据您的备案申请具体情况，可能需要您完成一些其他的核验操作。 天翼云审核与管局审核之间： 天翼云将您的备案订单提交管局后，您会收到工信部发送的核验短信（发信号码为12381），您需在24小时内，点击短信中的链接进行短信核验。核验成功后备案申请才能进入管局审核，超期未核验，您的备案申请将被驳回。 管局审核： 1.备案电话保持畅通：部分地区管局可能会拨打备案信息中相关负责人的电话号码进行备案信息核实，请您保持电话畅通注意接听来电。 2.网站内容符合要求：部分地区管局需要查看已备案成功的网站内容是否合规、未备案网站是否关闭，请您在备案审核期间保证网站内容符合要求。

本文为您介绍如何将您的网站通过域名接入WAF实例进行防护。 开通云WAF SaaS版实例后，需要将您需要防护的网站域名接入WAF，使网站的访问流量全部流转到WAF进行检测并转发，实现恶意流量的拦截。 域名接入WAF后，WAF作为一个反向代理存在于客户端和服务器之间，服务器的真实IP被隐藏起来，Web访问者只能看到WAF的IP地址。 WAF SaaS版提供CNAME接入方式，可以防护通过域名访问的Web应用/网站，包括Web业务服务器部署在天翼云上、非天翼云或线下的域名。 CNAME接入流程 在WAF控制台添加需要防护的网站域名后，通过修改域名的DNS解析设置，将网站流量解析到WAF，使访问网站的流量经过WAF并受到WAF的防护。WAF将过滤和处理后的请求转发回该域名的源站服务器。接入流程如下： 1. 添加域名 ：配置域名、协议、源站等相关信息，详情请参见添加域名。 2. 放行WAF回源IP段 ：WAF使用特定的回源IP段将经过防护引擎检测后的正常流量转发回网站域名的源站服务器。网站接入WAF进行防护时，您需要设置源站服务器的安全软件或访问控制策略，放行WAF回源IP段的入方向流量，详情请参见放行WAF回源IP段。 3. 本地验证 ：添加域名后，在本地电脑上搭建简易的模拟环境，验证网站流量转发设置已经生效，避免转发设置未生效时修改域名的DNS解析设置，导致业务访问异常，详情请参见本地验证。 4. 修改域名DNS ：若域名在接入WAF前未使用代理，则需要到该域名的DNS服务商处，修改域名的DNS解析配置，将网站的流量解析到WAF；若域名在接入WAF前使用了代理（DDoS高防、CDN等），则需要将使用的代理类服务（DDoS高防、CDN等）的回源地址修改为的目标域名的“CNAME”值，详情请参见修改域名DNS。 说明 完成接入流程后，网站访问流量将经过WAF转发检测。WAF包含多种防护检测模块，帮助网站应对不同类型的安全威胁，其中Web基础防护模块默认开启，用于防御常见的Web应用攻击（例如SQL注入、XSS跨站、Webshell上传等），其他防护模块需要您手动开启并配置具体防护规则。