本文介绍天翼云CDN权限管理配置平台及具体操作方法。 背景说明 一般情况下，客户只需一个天翼云账号即可管理在天翼云上购买的CDN资源。如果存在需要为企业内部的员工设置不同的访问权限，以达到不同员工之间权限隔离的效果，则可以使用天翼云CDN+统一身份认证服务（CDN+ Identity and Access Management，简称CDN+IAM）进行精细的权限管理。本文主要介绍相关操作步骤。 操作步骤 步骤一：登录CDN+IAM平台 1. 平台登录入口：天翼云CDN+IAM。 2. 进入账号登录界面，请单击【其他登录方式】里的第一个图标（如下图1），随即自动跳转到天翼云账号登录界面（如下图2），输入官网账号和密码后，单击【登录】。 步骤二：创建工作区 工作区是一个租户的概念，在工作区里可以共享合作，可实现团队管理，角色管理，子用户管理等操作。 完成登录CDN+IAM平台后，系统已为您创建一个系统内置工作区。 若没有系统内置工作区，您可以自行创建工作区。操作方式为在界面右上角，单击【新增】。 工作区生成后，您可以直接单击【系统内置工作区】进入工作区，该工作区的所有者是您。

本章介绍如何使用文件备份恢复数据。 可以根据文件备份将资源的数据恢复到备份时刻的状态。 约束限制 需要恢复的资源的状态为“正常”。 不建议对正在运行的应用程序的文件进行恢复，建议停止应用程序运行后再执行恢复操作。 方式一 1. 登录云服务备份管理控制台。 1. 登录管理控制台。 2. 单击管理控制台左上角的，选择区域。 3. 选择“存储 > 云服务备份 > 文件备份”。 2. 选择“文件备份”页签，单击目标文件所在资源名称。 3. 单击备份所在行的“恢复数据”。 4. 选择恢复的位置： 当前位置：数据将恢复至当前服务器原文件路径下，并且覆盖同名文件的数据。仅Linux系统支持恢复到当前位置。 创建新位置：数据可以恢复至其他所选的服务器的文件路径下。选择目标服务器：需要选择已在“文件备份”中“正常”的主机。如果目标服务器未在列表中，需要前往“文件备份”完成Agent安装步骤。 5. 根据页面提示，单击“确定”。可以在文件备份副本页面和本地主机确认恢复数据是否成功。文件备份的“状态”恢复为“可用”时，表示恢复成功。 说明 存储位置的文件目录不能包含空格。 方式二 1. 登录云服务备份管理控制台。 1. 登录管理控制台。 2. 单击管理控制台左上角的，选择区域。 3. 选择“存储 > 云服务备份 > 文件备份”。 2. 选择“文件备份”页签，单击目标文件所在资源名称。 3. 单击“操作”列下的“可恢复时间轴”。 4. 选择需要将数据恢复的备份时间点。单击“恢复”。选择该时间点恢复后，数据将恢复至该时间点的状态。 5. 选择恢复的位置： 当前位置：数据将恢复至当前服务器原文件路径下，并且覆盖同名文件的数据。仅Linux系统支持恢复到当前位置。 创建新位置：数据可以恢复至其他所选的服务器的文件路径下。选择目标服务器：需要选择已在“文件备份”中“正常”的客户端。如果目标客户端未在列表中，需要前往“文件备份”完成客户端安装步骤。 6. 根据页面提示，单击“确定”。可以在文件备份副本页面和本地主机确认恢复数据是否成功。文件备份的“状态”恢复为“可用”时，表示恢复成功。

防护模块配置 WAF支持多种威胁防护模块，防护模块概述如下： 防护模块 说明 默认规则 配置建议 Web应用基础防护 覆盖OWASP中的常见的攻击类型，通过内置规则库进行安全防护。 用户可选择系统默认规格的规则库，也可自定义防护规则库，实现针对性防护。 可开启/关闭，默认处于开启状态。 包括系统默认规则组（正常/宽松/严格）以及用户自定义规则组。默认选择正常规则组。 可根据不同的防护需求选择不同的防护等级： 正常规则组为考虑漏保和误报均衡结果的规则组，一般业务防护建议选择正常规则组。 宽松规则组提供精准的攻击检测策略，仅会对较为明确的攻击进行防护。 严格规则组提供全面的安全演策，会阻断所有可能为攻击的行为。 CC攻击防护 CC攻击（Challenge Collapsar）是DDoS的一种，攻击者通过代理服务器向受害主机不停发送大量数据包，造成Web业务服务器的资源耗尽，从而无法响应其他正常访问请求的一种攻击行为。CC攻击防护可以通过对Web业务请求的安全验证，防护网络攻击者对业务服务器发起的CC攻击。 可开启/关闭，默认处于关闭状态。 系统提供两种默认防护级别，无需用户设置防护规则实现快速配置。为了避免误杀，用户也可自定义CC防护规则，限制单个访问者对命中特定匹配条件的访问频率，WAF会根据配置的规则，精准识别CC攻击，并做出拦截、人机验证等动作处理。 当网站服务器资源有限，且存在被CC攻击的情况下建议开启。 开启后可能会影响业务的正常访问流程，建议选择人机验证，从而保证业务的可用性。 精准访问控制 用户可根据客户端IP、请求URL、以及常见的请求头字段定义访问请求的精确匹配条件，以进行过滤，并对命中条件的请求设置放行、拦截、观察或人机验证等操作。 可开启/关闭，默认处于关闭状态。 当业务出现明确需要保护的地址，例如用户名或密码保存的文件路径、以及管理员访问路径，可进行精准访问控制。 IP黑白名单设置 自定义添加IP黑白名单规则，阻断、放行指定IP的访问请求。 白名单优先级高于黑名单优先级，即当会话命中白名单后会被直接放行，不再进行后续的安全检测。 可开启/关闭，默认处于关闭状态。 黑白名单通常与其他防护模块并行使用，通过设置黑白名单，放行安全的访问请求，阻断恶意的访问请求。 BOT防护 WAF提供若干个已知的公开BOT类型，用户可分别设置相应的防护动作。 支持公开类型和自定义会话策略两大类防护策略。同时，用户可自定义防护策略，根据协议特征或者其他会话特征设置判定维度，对命中的请求进行相应的处理。 可开启/关闭，默认处于关闭状态。 BOT防护主要用于防止其他网站对业务网站信息的爬取，当有相关需要时，可以开启该模块。 地域访问控制 通过配置地域访问控制规则，可针对指定国家、地区的来源IP自定义访问控制。 可开启/关闭，默认处于关闭状态。 地域访问控制可以通过拒绝部分地域的访问，例如境外地址的访问，从而阻断掉可能来源于境外的攻击。 防敏感信息泄露 支持对网站返回的内容进行过滤（拦截、脱敏展示），过滤内容包括敏感信息、关键字和响应码。 可开启/关闭，默认处于关闭状态。 当网站返回信息中包括敏感信息时，通过设置防敏感信息泄露规则，可以过滤网站返回内容中的敏感信息（比如身份证号、电话号码等），对敏感信息进行脱敏展示，可以有效防止敏感泄露。 网页防篡改 通过缓存页面和锁定访问请求，可避免页面被恶意篡改而带来的负面影响，对重点静态页面进行保护。 可开启/关闭，默认处于关闭状态。 网页防篡改主要用于防护一些重点的静态页面。 Cookie防篡改 通过对Cookie中的字段增加完整性校验保护，WAF会新增一个Cookie字段用于篡改校验。 可开启/关闭，默认处于关闭状态。 Cookie防篡改主要用于防护Cookie变化较少、对安全性要求较高的网页。 隐私屏蔽 通过设置隐私屏蔽规则，可屏蔽用户隐私信息，避免用户隐私信息出现在系统记录的日志中。 可开启/关闭，默认处于关闭状态。 隐私屏蔽规则主要是屏蔽WAF系统日志中的用户隐私信息，可以从安全运维侧规避用户的隐私泄露风险。

!/bin/sh /sbin/modinfo F filename /root/toa/toa.ko > /dev/null 2>&1 if [ $? eq 0 ]; then /sbin/insmod /root/toa/toa.ko fi d. “/root/toa/toa.ko”为TOA内核模块文件的路径，您需要将其替换为自己编译的TOA内核模块路径。 e. 为toa.modules启动脚本添加可执行权限，执行以下命令： sudo chmod +x /etc/sysconfig/modules/toa.modules 5. 安装多节点 假如要在相同的操作系统中加载此内核模块，可以将toa.ko文件拷贝到您的虚拟机中，参照以上加载内核模块的步骤，内核模块加载成功以后，应用程序可以正常获取访问者的真实源IP地址。 6. 验证TOA内核模块 a. TOA内核模块安装成功后即可直接获取到源地址，在安装有python的后端服务器中启动一个HTTP服务，执行如下命令： python m SimpleHTTPServer port b. 其中，port需要与ELB添加该后端服务器时配置的端口一致，默认为80。启动之后，通过客户端访问ELB的IP时，服务端的访问日志如下： 192.168.1.10 [08/Sep/2022 15:21:21] "GET / HTTP/1.1" 200 – Proxy Protocol模式 1. 在TCP监听器对应的后端主机组上打开如下开关。（只可创建时打开，不可修改） 2. 在后端主机内开启Proxy Protocol。修改/etc/nginx/nginx.conf文件内容如下（以nginx为例演示，用户可按照后端主机真实应用情况决定如何获取客户端源IP）。 http { 确认已设置$proxyprotocoladdr logformat main '$proxyprotocoladdr $remoteaddr $remoteuser [$timelocal] "$request" ' '$status $bodybytessent "$httpreferer" ' '"$httpuseragent" "$httpxforwardedfor"'; 以888监听端口为例，增加proxyprotocol字段 server { listen 888 proxyprotocol; ... } } 3. 在后端主机的Nginx日志可以看到已获取到客户端源IP。

参数 参数类型 说明 示例 下级对象 desktopOid String 云电脑ID XXXXXXXXXXXXX6925 desktopName String 云电脑名称 nickname String 云电脑别名 osType String 操作系统类型（Windows;Linux） status String 运行状态（Creating创建中;Stopped已关机;Starting启动中;Running运行中;Rebooting重启中;Rebuilding重装中;Stopping关闭中;Deleting删除中;Deleted已删除;Unhealthy异常;RollingBack回滚中;Resizing变更中;Evacuating迁移中;Rescuing救援中;BackingUp备份中;DeletingBackup删除备份中;Regaining恢复中;Hibernating休眠中;Hibernated已休眠;WakingUp唤醒中） flavorType String 规格类型。可能值：[Common通用型, GpuGPU型, XcXC型]。 flavorSubtype String 规格子类型。仅对Linux通用型规格云电脑有意义。取值范围：[Desktop桌面版, Server服务器版]。 cpuArch String CPU架构。仅对XC型规格有意义。可能值：[arm, x86]。 processorType String 处理器类型。仅对XC型规格有意义。可能值： kp：鲲鹏。 hg：海光。 ft：飞腾。 zx：兆芯。 Intel：Intel。 kp cpu Integer CPU个数 memory Integer 内存大小（单位：GB） gpuMemory Integer 显存大小（单位：GB）。仅对GPU规格云电脑有意义。 sysDisk Object 系统盘 sysDisk dataDisks Array of Objects 数据盘 dataDisks imageOid String 镜像ID osName String 操作系统名称 org Object 归属部门 org vpcOid String VPC ID vpcName String VPC名称 subnets Array of Objects 所在子网集合 subnets eipAddress Object 弹性IP eipAddress pubUserOid String 分配用户ID（当且仅当用户与云电脑绑定成功时返回） userName String 分配用户名称（当且仅当用户与云电脑绑定成功时返回） desktopPool Object 归属桌面池。为空时代表不是桌面池的云电脑。 desktopPool chargeType String 计费方式。枚举值范围：[PrePaid包年包月, ResourcePack资源包] createTime String 创建时间。以ISO 8601为标准，并使用UTC+0时间，格式为yyyyMMddTHH:mm:ssZ。 expireTime String 到期时间。以ISO 8601为标准，并使用UTC+0时间，格式为yyyyMMddTHH:mm:ssZ。 表 sysDisk

本章节主要介绍翼MapReduce服务查看及导出审计日志。 操作场景 该任务指导用户在MRS Manager查看、导出审计日志工作，用于安全事件中事后追溯、定位问题原因及划分事故责任。 系统记录的日志信息包含： 用户活动信息，如用户登录与注销，系统用户信息变更，系统用户组信息变更等。 用户操作指令信息，如集群的启动、停止，软件升级等。 操作步骤 查看审计日志 1. 在MRS Manager，单击“审计管理”，可直接查看默认的审计日志。 若审计日志的审计内容长度大于256字符，请单击审计日志展开按钮展开审计详情。 默认以“产生时间”列按降序排列，单击 操作类型 、安全级别、产生时间、用户、主机、服务、实例或操作结果可修改排列方式。 支持在“安全级别”筛选相同级别的全部告警。结果包含已清除和未清除的告警。 导出的审计日志文件，包含以下信息列： “编号”：表示MRS Manager已生成的审计日志数量，每增加一条审计日志则编号自动加1。 “操作类型”：表示用户操作的操作类型，分为“告警”、“审计日志”、“备份恢复”、“集群”、“采集日志”、“主机”、“服务”、“多租户”和“用户管理”九种场景，其中“用户管理”仅在启用了Kerberos认证的集群中支持。每个场景中包含不同操作类型，例如“告警”中包含“导出告警”，“集群”中包含“启动集群”，“多租户”包含“增加租户”等。 “安全级别”：表示每条审计日志的安全级别，包含“高危”、“危险”、“一般”和“提示”四种。 “开始时间”：表示用户操作开始的时间，且时间为CET或CEST时间。 “结束时间”：表示用户操作结束的时间，且时间为CET或CEST时间。 “用户IP”：表示用户操作时所使用的IP地址。 “用户”：表示执行操作的用户名。 “主机”：表示用户操作发生在集群的哪个节点。如果操作不涉及节点则不保存信息。 “服务”：表示用户操作发生在集群的哪个服务。如果操作不涉及服务则不保存信息。 “实例”：表示用户操作发生在集群的哪个角色实例。如果操作不涉及角色实例则不保存信息。 “操作结果”：表示用户操作的结果，包含“成功”、“失败”和“未知”。 “内容”：表示用户操作的具体执行信息。 2. 单击“高级搜索”，在审计日志搜索区域中，设置查询条件，单击“搜索”，查看指定类型的审计日志。单击“重置”清除输入的搜索条件。 说明 “开始时间”和“结束时间”表示时间范围的开始时间和结束时间，可以搜索此时间段内产生的告警。

本章节主要介绍翼MapReduce的添加用户并绑定租户的角色操作。 操作场景 创建好的租户不能直接登录集群访问资源，管理员需要通过FusionInsight Manager为已有租户创建新用户，通过绑定租户的角色继承其操作权限，以满足业务使用。 前提条件 管理员已明确业务需求，并已创建了租户。 操作步骤 1. 登录FusionInsight Manager，选择“系统 > 权限 > 用户”。 2. 若在系统中添加新的用户，请单击“添加用户”，打开添加用户的配置页面。 若为系统中已有的用户绑定租户权限，请单击该用户所在行的“修改”，打开修改用户的配置页面。 参见下表为用户配置属性。 用户参数一览 参数名 描述 用户名 指定当前的用户名，长度为3~32个字符，可包含数字、字母、下划线（）、中划线（）和空格。 “用户名”不能与集群各节点所有操作系统用户名相同，否则此用户无法正常使用。 不支持创建两个名称相同但大小写不同的用户。例如已创建用户“User1”，无法创建用户“user1”。使用“User1”时请输入正确的用户名。 用户类型 可选值包括“人机”和“机机”。 “人机”用户：用于在FusionInsight Manager的操作运维场景，以及在组件客户端操作的场景。选择该值需同时填写“密码”和“确认密码”。 “机机”用户：用于应用开发的场景。选择该值用户密码随机生成，无需填写。 密码 选择“人机”用户需填写“密码”。密码必须包含8~64个字符，至少包含以下类型字符中的四种：大写字母、小写字母、数字、特殊字符和空格。不能与用户名或倒序的用户名相同。 确认密码 再次输入密码。 用户组 单击“添加”，选择对应用户组将用户添加进去。 如果用户组添加了角色，则用户可获得对应角色中的权限。 例如，为新用户分配Hive的权限，请将用户加入Hive组。 主组 选择一个组作为用户创建目录和文件时的主组。下拉列表包含“用户组”中勾选的全部组。 角色 单击“添加”为用户绑定租户的角色。 说明 若一个用户想要获取使用“tenant1”租户包含的资源，且能够为“tenant1”租户添加/删除子租户，则需要同时绑定“Managertenant”和“tenant1 集群ID ”两个角色。 如果租户关联了HBase服务且当前集群启用了Ranger鉴权，用户需要通过Ranger界面配置HBase相关执行权限。 描述 配置当前用户的描述信息。 3. 单击“确定”完成用户创建。

本章节主要介绍翼MapReduce的FusionInsight Manager操作。 概述 MRS为用户提供海量数据的管理及分析功能，快速从结构化和非结构化的海量数据中挖掘您所需要的价值数据。开源组件结构复杂，安装、配置、管理过程费时费力，使用FusionInsight Manager将为您提供企业级的集群的统一管理平台： 提供集群状态的监控功能，您能快速掌握服务及主机的运行状态。 提供图形化的指标监控及定制，您能及时的获取系统的关键信息。 提供服务属性的配置功能，满足您实际业务的性能需求。 提供集群、服务、角色实例的操作功能，满足您一键启停等操作需求。 提供权限管理及审计功能，您能设置访问控制及管理操作日志。 浏览器支持能力 Google Chrome 推荐使用Google Chrome 93～95版本。 Microsoft Edge 支持Windows 10系统自带的Microsoft Edge浏览器。 说明 推荐使用Windows平台的浏览器访问FusionInsight Manager。 系统界面简介 FusionInsight Manager提供统一的集群管理平台，帮助您快捷、直观的完成集群的运行维护。 详见下图：FusionInsight Manager系统界面 界面最上方为操作栏，中部为显示区，最下方为任务栏。 操作栏各操作入口的详细功能如下表所示。 界面操作入口功能描述 入口 功能描述 主页 提供柱状图、折线图、表格等多种图表方式展示集群的主要监控指标、主机的状态统计。您可以定制关键监控信息面板，并拖动到任意位置。系统概览支持数据自动刷新，请参见主页。 集群 提供各集群内服务监控、服务操作向导以及服务配置，帮助您对服务进行统一管理。请参见集群管理。 主机 提供主机监控、主机操作向导，帮助您对主机进行统一管理。请参见主机。 运维 提供告警查询、告警处理指导功能。帮助您及时发现产品故障及潜在隐患，并进行定位排除，以保证系统正常运行。请参见运维。 审计 提供审计日志查询及导出功能。帮助您查阅所有用户活动及操作。请参见审计。 租户资源 提供统一租户管理平台。请参见租户资源。 系统 提供对FusionInsight Manager的系统管理设置，例如用户权限设置。请参见系统设置。

索引策略管理 配置日志索引在Elasticsearch中保存天数，每天凌晨1点删除超过该天数的索引。默认索引保存天数180天。 1.登录日志审计（原生版）控制台。 2.在左侧导航栏选择“系统配置 > 数据模型”，在上方选择“索引策略管理”页签。 3.配置索引保存天数和是否打开储存警戒值。 参数 说明 索引分层 是否开启日志分层存储。 默认值为关闭，即不开启日志分层存储。 取值范围： 关闭：与已有存储方案保持一致，所有数据为热存储。 开启：可配置热冷存储，注意只对新数据有效。 索引保存天数 配置日志索引在ElasticSearch中的保存天数，每天凌晨1点删除超过该天数的索引。 取值范围： “索引分层”关闭时，默认值为180天。 “索引分层”开启时，默认值为热存储0~90天，冷存储90~180天。 热存储：用于存储经常被访问的数据，支持数据实时访问，提供高性能的日志查询和分析功能，适用于数据高频查询分析等业务场景。 冷存储：在现有热存储的基础上，为您提供更低成本且可查询、分析的长期数据存储方案。适用于数据审计长期保存的业务场景。 是否打开储存警戒值 储存警戒值打开后，每天凌晨1点删除ElasticSearch中的旧数据，直到ElasticSearch磁盘利用率低于该储存警戒值。 默认关闭。 注意 删除的数据无法恢复，请谨慎开启储存警戒值。

本章节主要介绍配置升级后的服务配置修改建议。 操作场景 当节点组内ECS实例的规格（vCPU和内存）无法满足您的业务需求时，您可以使用配置升级功能提升ECS实例规格。升级配置后需要手动修改HDFS、YARN和Spark等服务的配置信息。本文为您介绍如何在翼MR Manager的“配置管理”页面修改配置项。 前提条件 已创建集群。 操作步骤 1. 在翼MR Manager中，单击“运维与配置”。 2. 单击“配置管理”。 3. 选择“所选集群服务”，点击查询，即可在当前页面修改配置信息。 配置修改建议说明 1. Doris：Doris所在节点配置升级后，Doris FE建议使用节点一半内存。 2. Elasticsearch：一个Elasticsearch节点，内存建议不超过64G。Elasticsearch所在节点配置升级后，Elasticsearch会自动根据节点情况设置内存值，一般无须用户手动修改，但需要重启集群。如果想手动设置，可以修改jvm.options文件配置Xms30g、Xmx30g参数，并重启集群。 3. HBase：HBase所在节点配置升级后，修改建议如下： hbasesite.xml：hbase.regionserver.handler.count 说明 ：一般跟CPU核数相同。 hbaseenv.sh：export HBASEMASTEROPTS ："Xmsg Xmxg" 说明 ：master不消耗很多内存，一般默认不添加或者分配2~8G左右。 hbaseenv.sh：export HBASEREGIONSERVEROPTS："Xmsg Xmxg " 说明 ：regionserver需要较多内存，一般配置内存配额的一半或更多。 4. HDFS：HDFS所在节点配置升级后，可以根据hadoopenv.sh 参数配置进行，通过调整服务的内存大小调整服务的性能，如Xmx20g Xms20g Xmn4g，然后重启服务。NameNode 建议文件、目录、数据块之和1亿，配置50G。 5. Hive：Hive所在节点配置升级后，可以通过hiveenv.sh统一参数配置来进行，也可以在作业提交时使用额外参数指定来进行。通过调整服务的内存大小调整服务的性能，如Xmx20g Xms20g Xmn4g，然后重启服务。内存大小可以根据机器的总内存而定，建议初始值为总内存大小的10%，后续根据性能需求调整。 6. Kafka：Kafka所在节点配置升级后，建议配置如下： kafkaenv.sh设置jvm配置参数：调整jvm堆大小，通过调整参数：export KAFKAHEAPOPTS"Xmx20G Xms20G Xmn4g"设置堆大小。 server.properties文件建议修改的配置项： num.io.threads：修改写磁盘的线程数，建议配置为CPU核数的50%； num.replica.fetchers：修改副本拉取线程数，建议配置为CPU核数50%的1/3； num.network.threads：修改数据传输线程数，建议配置为CPU核数的50%的2/3； replica.fetch.max.bytes：副本拉取数据量的大小。内存增加，可以适当加大该值； socket.send.buffer.bytes：调整socket发送的数据量。内存增加，可以适当加大该值； socket.receive.buffer.bytes：调整socke接受的数据量。内存增加，可以适当加大该值； socket.request.max.bytes：socket请求的数据量。内存增加，可以适当加大该值。 7. Kerberos：建议保持默认值，无需修改配置。 8. Kibana：Kibana是一个基于NodeJS的单页web应用，一般情况下，对内存CPU占用很少，无须修改内存、CPU等配置。 9. Kyuubi：Kyuubi一般情况下，对内存CPU占用很少，无须修改内存、CPU等配置。 10. OpenLDAP：建议保持默认值，无需修改配置。 11. Ranger：Ranger所在节点配置升级后，修改建议如下： rangeradmin通过{installdir}/ews/rangeradminservices.sh中变量 rangeradminmaxheapsize的值修改JMX，JAVAOPTS修改Xmx、Xmn等JVM参数，一般设置18g，1K policy建议设置为1G，1W policy建议设置为8G。 rangerusersync通过/{installdir}/rangerusersyncservices.sh中变量rangerusersyncmaxheapsize 的值修改JMX，JAVAOPTS修改Xmx Xmn等JVM参数，一般设置18g，1K policy建议设置为1G，1W policy建议设置为8G。 12. Spark：Spark所在节点配置升级后，修改建议如下： spark.history.kerberos.principal和spark.history.kerberos.keytab为spark读写eventLog的租户，用户如有特殊需求自行更改。 spark.yarn.historyServer.address：说明了history server的地址，用户如有特殊需求自行更改。 spark.dynamicAllocation.enabled 和 spark.dynamicAllocation.maxExecutors 分别控制动态和动态开启下能使用的最大资源，用户如有特殊需求自行更改。 spark.executor.cores 和 spark.executor.memory 确保spark.executor的每一个core分配到2~4g内存，标准是4g，具体视情况而定，设置core的memory设置过小executor容易oom。 13. Trino：Trino的服务包括coordinator和worker。Trino所在节点配置升级后，可以根据jvm.config参数配置进行，通过调整服务的内存大小调整服务的性能，如Xmx128g Xms128g，然后重启服务。 14. YARN：YARN所在节点配置升级后，可以根据yarnenv.sh 参数配置进行，通过调整服务的内存大小来调整服务的性能，如Xmx20g Xms20g Xmn4g，然后重启服务。NM用于集群中作业的内存和CPU，需要修改NM节点的yarnsite.xml中的yarn.nodemanager.resource.memorymb的值，该值用于所有作业的最多可用内存；以及yarn.nodemanager.resource.cpuvcores的值，该值用于所有作业的最多可用虚拟CPU核数。 15. ZooKeeper：ZooKeeper所在节点配置升级后，可通过配置java.env文件，在其中添加：export ZKSERVERHEAP2048（这里设置的单位默认是MB）。

本节主要介绍Linux客户端怎么在重启服务器之后，直接挂载云存储网关创建的LUN。 应用场景 客户端已经挂载云存储网关创建的LUN，为实现服务器开机启动后自动挂载LUN。 前提条件 Linux客户端已经挂载云存储网关LUN。 具体操作 1. 在客户端使用命令lsblk f查看挂载设备的文件系统信息，找到文件系统对应的UUID。 [root@client ~] lsblk f NAME FSTYPE LABEL UUID MOUNTPOINT sda mpathmember └─mpatha └─mpatha1 ext4 7269eef6e401454aacb4503d33337f21 /mnt/diskmpatha sdb mpathmember └─mpatha └─mpatha1 ext4 7269eef6e401454aacb4503d33337f21 /mnt/diskmpatha vda ├─vda1 swap 9e33bd6fc68c41c795c8703f4fe8c3d4 [SWAP] └─vda2 xfs a83f4fdc2ea14feca1e2a42016ce0afe / vdb └─vdb1 ext4 74296a9e8cfd470889b108086f71175b vdc └─vdc1 ext4 a9fedea4391e4d2a8824c9a3a6853394 2. 在/etc/fstab文件中新增云存储网关创建的LUN挂载信息，下次开机启动时可以自动挂载该LUN。 UUID7269eef6e401454aacb4503d33337f21 /mnt/diskmpatha ext4 defaults,netdev 0 0

本章节介绍了如何在管理控制台创建实例、连接实例的具体操作流程。 使用流程 初次使用天翼云关系数据库SQL Server版，请先了解【约束与限制】。 使用天翼云关系数据库SQL Server版，通常需要以下几个步骤： 1. 创建SQL Server实例。 2. 创建数据库和账号。 3. 申请或释放外网地址。 4. 连接SQL Server实例。

查看云间高速（尊享版）： 1、登录天翼云控制中心； 2、单击 ，选择【网络】单击【云间高速】； 3、进入云间高速服务界面，点击【云间高速管理】，如图所示 查看云间高速（标准版）： 1、登录天翼云控制中心； 2、单击 ，选择【网络】单击【云间高速（标准版）】； 3、进入云间高速服务界面，点击【云间高速（标准版）】，如图所示

创建云间高速（尊享版）： 1、登录天翼云控制中心； 2、单击 ，选择【网络】单击【云间高速】； 3、进入云间高速服务界面，点击【创建云间高速】，如图所示： 创建云间高速（标准版）： 1、登录天翼云控制中心； 2、单击 ，选择【网络】单击【云间高速（标准版）】； 3、进入云间高速服务界面，点击【创建云间高速（标准版）】，如图所示：

基线检查 通过执行云服务基线扫描，检查基线配置风险状态，告警提示存在安全隐患的配置，并提供基线加固建议。 基线检查功能说明： 功能模块 功能详情 云服务基线 通过一键扫描或设置定级扫描，分类呈现云服务配置检测结果，提示不合格检测项，并提供相应配置加固建议和帮助指导。 检测结果 通过集成安全防护产品，接入安全产品检测数据，管理全部检测结果。 全部结果功能说明： 功能模块 功能详情 检测结果 通过呈现多种结果类型，支持标记、导出检测结果，并支持自定义结果列表。 结果类型 威胁告警、漏洞、风险、合规检查、违法违规、舆情、安全公告。 日志管理 通过授权对象存储服务（Object Storage Service，OBS）存储态势感知日志，帮助用户轻松应对安全日志存储、导出场景，满足日志存储180天及集中审计的要求。 日志管理功能说明： 功能模块 功能详情 日志管理 通过OBS存储日志，满足SA日志审计和容灾需求。 产品集成 通过集成安全防护产品，接入安全产品检测数据，管理检测结果的数据来源。 产品集成功能说明： 功能模块 功能详情 安全产品集成 通过集成安全防护产品，接入安全产品检测数据，管理检测结果的数据来源，支持查看传输数据量，管理数据上报健康状态。

请在安装Agent前,确认待安装的服务器是否在可支持范围内。本小节介绍服务器安全卫士安装Agent步骤。 前提条件 Agent支持主流64位操作系统，支持的操作系统见产品规格 。 安装方法 登录云平台后， 进入控制中心“服务器安全卫士”，点击订单中的“控制台”，进入服务器安全卫士控制台，选择“通用功能 > 系统设置 > Agent安装”，进入Agent安装界面，选择对应的操作系统，设置主机信息，按安装引导进行安装即可。 注意事项 注意 Linux仅支持命令安装。 Windows支持命令安装、安装包安装、命令+ 安装包安装。 命令安装：可适用于批量安装（直连主机需使用PowerShell组件）。 安装包安装：适用于单台安装，用户可使用操作界面安装。 安装包+命令：适用于批量安装，安装包分发到各主机，批量执行命令。

本节主要介绍修改/启用/停用企业项目 当您的业务发生变化时，可以对已存在的企业项目进行修改、启用、停用操作。 为了保证您的资源安全，目前暂不支持删除企业项目。如果您不再使用企业项目，您可以停用企业项目。 说明 已停用企业项目无法使用修改功能。 停用后的企业项目仍会占用企业项目配额，如果您的企业项目配额不足，建议您提交工单让后台运维人员为您提供企业项目删除功能，或提升企业项目数量配额。 企业项目停用后在云服务创建页的“企业项目”中将不可见，无法迁入资源和添加用户组，如需再次使用，请重新启用该企业项目。 默认企业项目（default）无法编辑和停用。 修改企业项目 步骤 1 企业管理员登录天翼云网门户，单击天翼云首页顶部右侧“控制台”。 步骤 2 在控制台首页顶部右侧，单击您的用户名后弹出下拉菜单，单击“企业管理”。 步骤 3 在企业项目管理页面，单击左侧功能菜单“项目管理”，进入企业项目列表页面，单击待修改企业项目右侧的“更多”，单击更多下拉菜单中的“修改”。 步骤 4 在修改企业项目信息弹出框中，输入新的“名称”和“描述”。 步骤 5 单击“确定”完成企业项目修改。 启用/停用企业项目 步骤 1 企业管理员登录天翼云网门户，单击天翼云首页顶部右侧“控制台”。 步骤 2 在控制台首页顶部右侧，单击您的用户名后弹出下拉菜单，单击“企业管理”。 步骤 3 在企业项目管理页面，单击左侧功能菜单“项目管理”，进入企业项目列表页面，单击待启用/停用企业项目右侧的“更多”，单击更多下拉菜单中的“启用”/“停用”。 步骤 4 在企业项目启用/停用确认框中，单击“是”完成企业项目启用/停用。

前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 已创建路径分析实例。 操作步骤 1. 登录控制中心，进入网络控制台页面。 2. 在控制中心页面左上角选择对应区域，本文我们选择庆阳2。 3. 在左侧导航栏，选择“路径分析”选项，进入路径分析列表页。 4. 在路径分析列表页面，选定要删除的路径分析实例，点击“删除”按钮，即可删除对应路径分析实例。 注意 删除路径分析实例时，会同步删除路径分析实例下所有的路径分析报告，且无法恢复。

本文为您介绍分布式消息服务MQTT的操作指南资源报表。 分布式消息服务MQTT提供连接数、生产关系数、Topic数、收发tps等历史指标数据的查询。 每分钟生产消息数查询 每分钟消费消息数查询 MQTT连接数查询 MQTT Topic数查询 MQTT订阅数查询 MQTT消息丢弃数查询 统计MQTT连接数、订阅数、生产消费消息数可以帮助： 性能监控： MQTT连接数、订阅数、生产消费消息数统计可以帮助您监控MQTT代理服务器的性能。通过实时查看MQTT连接数、订阅数、生产消费消息数，您可以确定代理服务器是否正常运行，以及是否需要进行性能调整或升级硬件资源。 故障检测： MQTT连接数、订阅数、生产消费消息数统计可以帮助您及早发现可能的故障。如果MQTT连接数、订阅数、生产消费消息数突然增加或减少，可能表明存在连接问题、设备故障或网络问题。这有助于快速识别和解决问题，减少系统停机时间。 资源规划： 了解MQTT连接数、订阅数、生产消费消息数的历史趋势和峰值可以帮助您进行资源规划。如果MQTT连接数、订阅数、生产消费消息数经常超过MQTT代理服务器的容量，您可能需要增加服务器资源或考虑负载均衡来确保系统的可伸缩性。 安全监控： MQTT连接数、订阅数、生产消费消息数统计可以用于安全监控。异常的MQTT连接数、订阅数、生产消费消息数可能表示潜在的安全风险，例如恶意攻击或未经授权的设备连接。通过MQTT连接数、订阅数、生产消费消息数统计，您可以及时发现这些问题并采取适当的安全措施。 优化性能： MQTT连接数、订阅数、生产消费消息数统计还可以用于优化性能。通过分析MQTT连接数、订阅数、生产消费消息数的模式和行为，您可以识别出哪些设备或主题产生了高连接负载，从而可以采取措施来优化系统的设计和配置。 合规性要求： 对于某些行业，例如物联网和金融领域，合规性要求可能需要跟踪和报告MQTT连接数、订阅数、生产消费消息数。MQTT连接数、订阅数、生产消费消息数统计可以帮助您满足这些合规性要求，并生成必要的报告。 综上所述，连接数、订阅关系数、主题数统计在监控、故障检测、资源规划、安全监控、性能优化和合规性要求方面都具有重要作用。它们提供了对MQTT系统运行状况的关键洞察，帮助您保持系统的稳定性、可用性和安全性。

操作 说明 停用域名 对域名进行停用操作后，控制台上域名状态将变更为“已停止”，且天翼云CDN会立即将加速域名的CNAME解析至不可用地址。 删除域名 对域名进行删除操作后，天翼云CDN会直接删除加速域名在CDN节点的配置，域名对应CNAME入口地址失效，此时域名请求如果仍访问至CDN节点，则会响应403。

在集群外节点上安装客户端 1.根据前提条件，创建一个满足要求的弹性云主机。 2.登录MRS Manager页面，具体请参见访问MRSManager（MRS2.x及之前版本），然后选择“服务管理”。 3.单击“下载客户端”。 4.在“客户端类型”选择“完整客户端”。 5.在“下载路径”选择“远端主机”。 6.将“主机IP”设置为ECS的IP地址，设置“主机端口”为“22”，并将“存放路径”设置为“/tmp”。 如果使用SSH登录ECS的默认端口“22”被修改，请将“主机端口”设置为新端口。 “存放路径”最多可以包含256个字符。 7.“登录用户”设置为“root”。 8.在“登录方式”选择“密码”或“SSH私钥”。 密码：输入创建集群时设置的root用户密码。 SSH私钥：选择并上传创建集群时使用的密钥文件。 9.单击“确定”开始生成客户端文件。 若界面显示以下提示信息表示客户端包已经成功保存。单击“关闭”。客户端文件请到下载客户端时设置的远端主机的“存放路径”中获取。 下载客户端文件到远端主机成功。 若界面显示以下提示信息，请检查用户名密码及远端主机的安全组配置，确保用户名密码正确，及远端主机的安全组已增加SSH(22)端口的入方向规则。然后从步骤2执行重新开始下载客户端。 连接到服务器失败，请检查网络连接或参数设置。 说明 生成客户端会占用大量的磁盘IO，不建议在集群处于安装中、启动中、打补丁中等非稳态场景下载客户端。 10.使用VNC方式，登录弹性云主机。参见弹性云主机《用户指南》的远程登录（VNC 方式） 章节 (“实例 > 登录Linux弹性云主机 > 远程登录（VNC方式）”）。 所有镜像均支持Cloudinit特性。Cloudinit预配置的用户名“root”，密码为创建集群时设置的密码。首次登录建议修改。 11.执行ntp时间同步，使集群外节点的时间与MRS集群时间同步。 a.检查安装NTP服务有没有安装，未安装请执行yum install ntp y命令自行安装。 b.执行vim /etc/ntp.conf命令编辑NTP客户端配置文件，并增加MRS集群中Master节点的IP并注释掉其他server的地址。 server master1ip prefer server master2ip 详见下图：增加Master节点的IP c.执行service ntpd stop命令关闭NTP服务。 d.执行如下命令，手动同步一次时间： /usr/sbin/ntpdate192.168.10.8 说明 192.168.10.8为主Master节点的IP地址。 e.执行service ntpd start或systemctl restart ntpd命令启动NTP服务。 f.执行ntpstat命令查看时间同步结果。 12.在弹性云主机，切换到root用户，并将步骤6中“存放路径”中的安装包复制到目录“/opt”，例如“存放路径”设置为“/tmp”时命令如下。 sudo su root cp /tmp/MRSServicesClient.tar /opt 13. 在“/opt”目录执行以下命令，解压压缩包获取校验文件与客户端配置包。 tar xvf MRSServicesClient.tar 14.执行以下命令，校验文件包。 sha256sum c MRSServicesClientConfig.tar.sha256 界面显示如下： MRSServicesClientConfig.tar: OK 15. 执行以下命令，解压“MRSServicesClientConfig.tar”。 tar xvf MRSServicesClientConfig.tar 16. 执行以下命令，安装客户端到新的目录，例如“/opt/Bigdata/client”。安装时自动生成目录。 sh /opt/MRSServicesClientConfig/install.sh /opt/Bigdata/client 查看安装输出信息，如有以下结果表示客户端安装成功： Components client installation is complete. 17. 验证弹性云主机节点是否与集群Master节点的IP是否连通？ 例如，执行以下命令：ping Master节点IP地址 是，执行步骤18。 否，检查VPC、安全组是否正确，是否与MRS集群在相同VPC和安全组，然后执行步骤18。 18. 执行以下命令配置环境变量： source /opt/Bigdata/client/bigdataenv 19.如果当前集群已启用Kerberos认证，执行以下命令认证当前用户。如果当前集群未启用Kerberos认证，则无需执行此命令。 kinit MRS 集群用户 例如, kinit admin 20. 执行组件的客户端命令。 例如，执行以下命令查看HDFS目录： hdfs dfs ls /

本文将向您介绍如何使用边缘安全加速平台安全与加速服务提供的Cookie防护功能。 功能介绍 采用Cookie加密、Cookie签名等方式对Cookie字段的字进行加密或签名，防止敏感信息泄露以及防护一些使用Cookie中的弱key进行权限绕过的漏洞利用，也能在一定程度上限制基于Cookie修改的爬虫。 注意 通过浏览器本地设置的Cookie，不适用该防护方式。边缘安全加速平台安全与加速服务防护的Cookie经过代理服务器设置修改，无法对浏览器通过js设置修改的Cookie操作。 背景信息 一些利用Cookie的攻击行为 Cookie盗用攻击 黑客等待合法用户登录系统之后，从合法用户浏览器中拿到名字为JSESSIONID的Cookie，将其放入黑客自己的浏览器的Cookie中，当黑客带着盗窃来的JSESSIONID访问系统时，后端系统会根据JSESSIONID找到对应的session，将该次请求当成是认证通过的用户发送的请求，如此黑客便可以客户的身份完成一系列敏感操作。 Cookie篡改攻击 当Cookie内容明文存储时，Cookie信息存在泄露风险。例如：Cookie内明文存储用户权限，当黑客篡改权限值，且服务端未重新校验Cookie当中的用户权限是否合法时，黑客将获得一系列提权操作。 Cookie信息泄露 Cookies内容存储含有用户密码，手机号，地址等信息时，Cookie一旦泄露，黑客将获取到客户敏感身份信息。 Cookie防护工作原理 Cookie加密 Cookie加密：针对Cookie信息当中存在明文数据或可修改内容进行加密，通过反向代理服务器将Cookie值进行替换，客户端获取到的将为加密数据信息，无法进行修改。客户请求经过代理服务器时，对应Cookie值会进行解密，明文传输给源站，保证源站无切换感知。 注意：Cookie内容通过浏览器解析后需要展示在客户端时，请勿使用Cookie加密和HTTP Only选项，会导致浏览器无法识别原始Cookie内容、js服务读取Cookie值。

JDK版本要求 天翼云媒体存储Java SDK 要求使用 J2SE Development Kit 6.0 或更高版本。可以从 下载最新版本 Java。 注意：Java 版本 1.6 (JS2E 6.0) 中没有 SHA256 签名的 SSL 证书的内置支持。Java 版本 1.7 或更高版本包含已更新证书，不受这一问题的影响。 安装方式 方式一：官网下载JavaSDK 在天翼云官网下载 xosjavasdk2.1.2.jar，下载地址： xosjavasdk2.1.2.jar 在 jar 包所在目录下执行以下 maven 命令，安装至 maven 本地仓库。 java mvn org.apache.maven.plugins:maveninstallplugin:3.0.0M1:installfile Dfilexosjavasdk2.1.2.jar 在您的 maven 工程的 pom.xml 文件中，在“dependencies”节点中加入以下配置： xml cn.chinatelecom xosjavasdk 2.1.1 方式二：添加AWS s3依赖 天翼云媒体存储兼容AWS s3接口，您可以通过AWS s3接口使用天翼云媒体存储。若您需要使用AWS s3接口，在您的 maven 工程的 pom.xml 文件中，在“dependencies”节点中加入以下配置： java com.amazonaws awsjavasdks3 1.11.336 com.amazonaws awsjavasdksts 1.11.336

本文介绍CDN加速按量计费的退订流程。 按量计费退订说明 当前CDN加速支持退订按量计费，天翼云用户可根据需要，灵活退订资源。 按量计费退订步骤 CDN加速产品同时支持在天翼云官网的费用中心和CDN控制台发起按量计费的退订。 退订方式1 1. 登录天翼云官网，单击右上角的用户名，进入【费用中心】。 2. 单击【订单管理】【退订管理】。勾选要退订的按量计费资源，单击【退订】，进入退订详情页面。 3. 退订前，建议查阅【退订须知】，再次确认要退订的资源信息，确认无误后，选择退订原因并勾选【我已确认本次退订金额和相关费用】，单击【退订】完成退订操作。 退订方式2 1. 通过天翼云官网购买CDN加速产品的客户，登录CDN控制台，单击左侧导航栏的【计费详情】【CDN加速】，支持参照如下页面在CDN加速计费详情页发起CDN加速按量计费的退订。 2. 退订前，建议查阅【退订须知】，再次确认要退订的资源信息，确认无误后，选择退订原因并勾选【我已确认本次退订金额和相关费用】，单击【退订】完成退订操作。

本章主要介绍翼MapReduce的配置HDFS数据传输加密功能。 设置HDFS安全通道加密 默认情况下，组件间的通道是不加密的。您可以配置如下参数，设置安全通道为加密的。 参数修改入口：在FusionInsight Manager系统中，选择“集群 > 待操作集群的名称 > 服务 > HDFS > 配置”，展开“全部配置”页签。在搜索框中输入参数名称。 说明 配置后应重启对应服务使参数生效。 详见下表：参数说明 配置项 描述 默认值 hadoop.rpc.protection 须知 设置后需要重启服务生效，且不支持滚动重启。 设置后需要重新下载客户端配置，否则HDFS无法提供读写服务。 设置Hadoop中各模块的RPC通道是否加密。通道包括： 客户端访问HDFS的RPC通道。 HDFS中各模块间的RPC通道，如DataNode与NameNode间。 客户端访问Yarn的RPC通道 NodeManager和ResourceManager间的RPC通道。 Spark访问Yarn，Spark访问HDFS的RPC通道。 Mapreduce访问Yarn，MapReduce访问HDFS的RPC通道。 HBase访问HDFS的RPC通道。 说明 设置后全局生效，即Hadoop中各模块的RPC通道的加密属性全部生效。 安全模式：privacy 普通模式：authentication 说明 “authentication”：只进行认证，不加密。 “integrity”：进行认证和一致性校验。 “privacy”：进行认证、一致性校验、加密。 dfs.encrypt.data.transfer 设置客户端访问HDFS的通道和HDFS数据传输通道是否加密。HDFS数据传输通道包括DataNode间的数据传输通道，客户端访问DataNode的DT（Data Transfer）通道。设置为“true”表示加密，默认不加密。 说明 仅当hadoop.rpc.protection设置为privacy时使用。 业务数据传输量较大时，默认启用加密对性能影响严重，使用时请注意。 如果互信集群的一端集群配置了数据传输加密，则对端集群也需配置同样的数据传输加密。 FALSE dfs.encrypt.data.transfer.algorithm 设置客户端访问HDFS的通道和HDFS数据传输通道的加密算法。只有在dfs.encrypt.data.transfer配置项设置为“true”，此参数才会生效。 说明 缺省值为“3des”，表示采用3DES算法进行加密。此处的值还可以设置为“rc4”，避免出现安全隐患，不推荐设置为该值。 3des dfs.encrypt.data.transfer.cipher.suites 可以设置为空或“AES/CTR/NoPadding”，用于指定数据加密的密码套件。如果不指定此参数，则使用“dfs.encrypt.data.transfer.algorithm”参数指定的加密算法进行数据加密。默认值为“AES/CTR/NoPadding”。 AES/CTR/NoPadding

人脸识别是天翼云自研AI平台提供的产品之一，通过自主研发人脸识别算法模型，提供人脸系列API服务，包括人脸检测、人脸属性识别、人脸比对等能力。通过订购天翼云人脸识别产品，可将此服务快速高效的部署到您的应用中，为开发者和企业提供高性能的在线API服务和解决方案，针对图片进行分析，可应用于人脸识别和认证、安防考勤等各种场景。 本说明提供了人脸识别产品API的描述、语法、参数说明及示例等内容。

集群扩容和缩容 不支持自动扩缩容集群中的 Master 节点，仅对集群的node工作节点进行自动扩容缩容。 用户在扩容集群规模时必须满足用户配额（ECS节点、弹性IP等）的前提，如果用户配额不满足，需要提交工单，申请扩大配额。 存储卷 云硬盘存储卷使用约束： 云硬盘不支持跨可用区挂载，且不支持被多个工作负载、同一个工作负载的多个实例或多个任务使用。由于CCE集群各节点之间暂不支持共享盘的数据共享功能，多个节点挂载使用同一个云硬盘可能会出现读写冲突、数据缓存冲突等问题，所以创建无状态工作负载时，若使用了EVS云硬盘，建议工作负载只选择一个实例。 1.19.10以下版本的集群中，如果使用HPA策略对挂载了EVS卷的负载进行扩容，当新Pod被调度到另一个节点时，会导致之前Pod不能正常读写。 1.19.10及以上版本集群中，如果使用HPA策略对挂载了EVS卷的负载进行扩容，新Pod会因为无法挂载云硬盘导致无法成功启动。 文件存储卷使用约束： 支持多个PV挂载同一个SFS或SFS Turbo，但有如下限制： 1. 多个不同的PVC/PV使用同一个底层SFS或SFS Turbo卷时，如果挂载至同一Pod使用，会因为PV的volumeHandle参数值相同导致无法为Pod挂载所有PVC，出现Pod无法启动的问题，请避免在同一个Pod中挂载相同的SFS或SFS Turbo。 2. PV中persistentVolumeReclaimPolicy参数建议设置为Retain，否则可能存在一个PV删除时级联删除底层卷，其他关联这个底层卷的PV会由于底层存储被删除导致使用出现异常。 3. 重复用底层存储时，建议在应用层做好多读多写的隔离保护，防止产生的数据覆盖和丢失。 对象存储卷使用约束如下： 使用对象存储时，挂载点不支持修改属组和权限。 使用PVC挂载对象存储时，负载每挂载一个对象存储卷，后端会产生一个常驻进程。当负载使用对象存储数过多或大量读写对象存储文件时，常驻进程会占用大量内存，为保证负载稳定运行，建议负载使用的对象存储卷数量不超过其申请的内存GiB数量，如负载的申请的内存规格为4GiB，则建议其使用的对象存储数不超过4。 安全容器不支持使用对象存储。 挂载普通桶时不支持硬链接（Hard Link）。 在工作负载中挂载OBS存储卷声明时，不支持只读模式（readonly）。 本地持久卷使用约束： 本地持久卷仅在集群版本> v1.21.2r0 时支持，且需要everest插件版本>2.1.23，推荐使用>2.1.23版本。 移除节点、删除节点、重置节点和缩容节点会导致与节点关联的本地持久存储卷类型的PVC/PV数据丢失，无法恢复，且PVC/PV无法再正常使用。移除节点、删除节点、重置节点和缩容节点时使用了本地持久存储卷的Pod会从待删除、重置的节点上驱逐，并重新创建Pod，Pod会一直处于pending状态，因为Pod使用的PVC带有节点标签，由于冲突无法调度成功。节点重置完成后，Pod可能调度到重置好的节点上，此时Pod会一直处于creating状态，因为该PVC对应的底层逻辑卷已不存在。 请勿在节点上手动删除对应的存储池或卸载数据盘，否则会导致数据丢失等异常情况。 本地持久卷不支持被多个工作负载或多个任务同时挂载。 本地临时卷使用约束： 本地临时卷仅在集群版本> v1.21.2r0 时支持，且需要everest插件版本>1.2.29。 请勿在节点上手动删除对应的存储池或卸载数据盘，否则会导致数据丢失等异常情况。 请确保节点上Pod不要挂载/var/lib/kubelet/pods/目录，否则可能会导致使用了临时存储卷的Pod无法正常删除。 快照与备份使用约束： 快照功能仅支持v1.15及以上版本的集群，且需要安装基于CSI的everest插件才可以使用。 基于快照创建的云硬盘，其子类型（普通IO/高IO/超高IO）、是否加密、磁盘模式（VBD/SCSI）、共享性(非共享/共享)、容量等都要与快照关联磁盘保持一致，这些属性查询和设置出来后不能够修改。 只有可用或正在使用状态的磁盘能创建快照，且单个磁盘最大支持创建7个快照。 创建快照功能仅支持使用everest插件提供的存储类（StorageClass名称以csi开头）创建的PVC。使用Flexvolume存储类（StorageClass名为ssd、sas、sata）创建的PVC，无法创建快照。 加密磁盘的快照数据以加密方式存放，非加密磁盘的快照数据以非加密方式存放。 LVM 配置约束： 节点中LVM的backup功能已修改默认配置（位于/etc/lvm/lvm.conf路径）：安装存储插件Everest（> 2.4.98）后，Archive保留时间会被约束为1天，以防止大量LVM操作的历史元数据侵占磁盘空间。

状态码 描述 200 服务器返回成功，该操作是幂等的 400 用户请求错误，该操作是幂等的 401 用户无权限（用户名或者密码错误等） 403 访问受限，被禁止 404 用户请求路径不存在 429 Too many Request 500 服务端异常 502 网关错误 503 服务不可用

此小节介绍数据库安全服务的产品定义。 产品介绍 数据库安全服务，即DBSS（Database Security Service），提供旁路模式数据库安全审计服务功能，通过实时记录用户访问数据库行为，形成细粒度的审计报告，对风险行为和攻击行为进行实时告警。同时，数据库安全审计可以生成满足数据安全标准（例如SarbanesOxley）的合规报告，对数据库的内部违规和不正当操作进行定位追责，保障数据资产安全。 数据库类型 数据库安全审计可以为管理控制台上的以下数据库提供旁路模式的数据库审计功能： 关系型数据库（Relational Database Service，RDS） 弹性云主机（Elastic Cloud Server ，ECS）的自建数据库 裸金属服务器（Bare Metal Server，BMS）的自建数据库 云主机（Elastic Cloud Server ，ECS）的自建数据库 物理机（Bare Metal Server，BMS）的自建数据库 数据库安全审计支持的数据库类型和版本 数据库类型 版本 MySQL 5.0、5.1、5.5、5.6、5.7 8.0（8.0.11及以前的子版本） 8.0.23 Oracel (因Orace为闭源协议，适配版本复杂，如您需审计Orace数据库，请先联系客服人员) 11g 11.1.0.6.0、11.2.0.1.0、11.2.0.2.0、11.2.0.3.0、11.2.0.4.0 12c 12.1.0.2.0、12.2.0.1.0 19c PostgreSQL 7.4 8.0 8.0、8.1、8.2、8.3、8.4 9.0 9.0、9.1、9.2、9.3、9.4、9.5、9.6 10.0 10.0、10.1、10.2、10.3、10.4、10.5 11.0 12.0 13.0 SQL Server 2008、2008R2 2012 2014 2016 2017 DWS 1.5 SHENTONG V7.0 GBase 8a V8.5 GBase 8s V8.8 Gbase XDM Custer V8.0 Greenplum V6.0 HighGo V6.0 TAURUS MySQ 8.0 DAMENG DM8 KINGBASE V8 MongoDB V5.0

天翼云Prometheus监控服务提供了Remote Read的标准接口，您可以通过这个接口远程访问天翼云上Prometheus的监控数据。本文以开源Prometheus访问天翼云Prometheus监控为例介绍如何使用Remote Read地址。 使用限制 Remote Read接口暂不支持HTTP/2。 前提条件 已创建Prometheus 版实例 远程读取的客户端网络已经与暴露接口打通。 操作指南 步骤一：获取用户的AccessKey和AccessKey Secret 如果您已创建Prometheus实例，且您需要使用AccessKey和AccessKey Secret进行远程读写，则需要先为获取用户的AccessKey ID和AccessKey Secret。 1. 通过实名认证的账号登录天翼云。 2. 进入天翼云账号中心。 3. 点击【安全设置】进入安全设置中心 4. 在用户AccessKey模块，可创建AKSK，或直接查看已生成的AKSK。 步骤二：获取Remote Read地址 1. 登录应用性能监控控制台，左侧菜单选择Prometheus监控，进入实例列表页面。 2. 单击目标实例名称。 3. 在设置页签上，复制Remote Read地址。 步骤三：配置开源版Prometheus 1. 安装开源Prometheus。 2. 编辑Prometheus.yml配置文件，并在文件末尾增加以下内容，将remoteread链接替换为上文步骤二中获取的地址，然后保存文件。 plaintext global: scrapeinterval: 15s evaluationinterval: 15sscrapeconfigs: jobname: 'prometheus' staticconfigs: targets: ['localhost:9090'] remoteread: 替换为您的Remote Read地址。 url: " readrecent: true 3. 重启开源版Prometheus服务。

使用事件总线EventBridge前，您需在产品页开通该服务。本文介绍如何开通事件总线EventBridge。如果您的账号为子用户，必须让天翼云账号为子用户进行授权，才能通过控制台或API访问相应的事件总线EventBridge资源。 前提条件 注册天翼云账号。 步骤一：开通事件总线EventBridge并委托授权 1. 登录天翼云官网，选择产品 > 容器与中间件 > 应用集成 > 事件总线 EventBridge。 2. 在事件总线EventBridge产品页，单击开通。 3. 请仔细阅读事件总线 EventBridge（按量付费）服务协议，选中事件总线 EventBridge（按量付费）服务协议，然后单击立即开通。 4. 开通服务后，账号未委托相关必要权限给事件总线时，需要先进行委托权限，详见服务内联委托管理。 5. 委托成功后，进入事件总线EventBridge管理控制台进行操作。 步骤二：（子账号必选）为子账号授权 1. 使用天翼云账号登录IAM控制台。 2. 在左侧导航栏，选择用户组。 在用户组页面，单击目标子账号用户组授权列的添加权限，详见主子账号和IAM权限管理。 3. 选择权限策略。 权限策略包括系统策略和自定义策略两种，您可以根据需要选择对应的权限策略。 事件总线EventBridge提供以下系统策略，您可以根据权限范围为RAM用户授予相应权限。 权限策略名称 说明 EventBridge admin 管理员权限策略，拥有事件总线EventBridge所有资源的读写权限 EventBridge user 普通用户策略，拥有事件总线EventBridge除订单相关操作之外对其他资源拥有读写权限 EventBridge publisher 拥有事件总线EventBridge事件的发送权限。 EventBridge viewer 只读权限策略，拥有事件总线EventBridge所有资源的只读权限

本文介绍如何校验域名归属权。 客户可根据如下方法一、方法二，任意选择一种方式进行操作验证即可。 方法一：DNS解析验证 示例为ctcdn.cn的解析配置 1、客户需在自己的域名解析服务商，添加天翼云控制台返回的TXT记录值（如下记录值仅为示例）。 记录类型 主机记录 记录值 TXT dnsverify 202207060000002jar4fb2hc79iwjq5cdid87t7rci1sgp33exuyvez4kwonobxt 2、域名解析操作完成后，等待（建议10分钟）DNS解析生效后即可进行解析验证。 解析命令：dig dnsverify.ctcdn.cn txt 3、如解析出来的txt值和天翼云控制台返回的TXT记录值一致，则表示配置正确。 确认配置正确后，可前往天翼云控制台，在新增域名界面点击验证，验证通过就可以正常操作新增域名。 方法二：文件验证 示例为ctcdn.cn的解析配置 1、在您的源站根目录下，创建文件名为：dnsverify.txt的文件，文件内容为天翼云控制台返回的TXT记录值（如下记录值仅为示例） 2、文件在源站根目录下创建完成后，即可进行访问验证（示例为访问 windows验证： linux验证： 3、如访问展示的文件内容和天翼云控制台返回的TXT记录值一致，则表示配置正确。 确认配置正确后，可前往天翼云控制台，在新增域名界面点击验证，验证通过就可以正常操作新增域名。