本文介绍如何为SQL Server实例设置SSL加密。 功能介绍 SSL加密功能可以对SQL Server和客户端之间传输的数据进行加密，防止数据被第三方监听、截取和篡改。客户端可以使用CA证书验证收到的服务器证书以确认RDS SQL Server身份，防止中间人攻击。 开启SSL加密后，客户端连接SQL Server时，可以选择进行强制加密连接或者非加密连接。可以下载SSL CA证书。 开启SSL加密时，SQL Server将生成服务器证书以及公私钥。客户端可以使用CA证书 支持的版本 目前SQL Server 所有版本（2014~2022）及架构（单机、主备）的数据库实例均支持设置 SSL 加密，其中，只读实例无需单独设置，主实例开启 SSL 加密后，其只读实例会同步生效。 前提条件 只有数据库状态为运行中的实例才可以设置SSL加密。 注意事项 开启SSL加密、关闭SSL加密时会重启实例 ，实例可能会有几分钟不可用，因此，操作前请您确保业务具备重连机制，建议在业务低峰期操作。 开启 SSL 加密后，会显著造成实例 CPU 使用率上升。 SSL 的证书有效期为10年。 开启SSL加密将会同时对内网VIP、已绑定SQL Server实例弹性公网IP（如有）进行加密。 开启或关闭SSL加密时，不允许对SQL Server进行主备切换、重启等。 实例先开启SSL，后绑定弹性IP，使用弹性IP加密访问时必须信任服务器证书。 主实例先开启SSL，后开通的只读实例，通过vip或弹性IP加密访问只读实例时，必须信任服务器证书。

本章节主要介绍翼MapReduce组件Spark的操作使用说明。 Sparkbeeline连接的目标可以是spark thrift server、也可以是kyuubi server。 我们以spark thrift server为例，提供链接流程如下： 1. 首先配置spark thrift相关配置。 1. Sparkenv.sh 中配置需要配置JAVAHOME、HADOOPHOME、HADOOPCLASSPATH、HADOOPCONFDIR等环境变量。 2. SPARKHOME/conf 路径下的hivesite.xml文件中，需要配置如下： hive.server2.transport.mode Set this to value: http hive.server2.thrift.http.port HTTP port number to listen on; default is 10001 如果hivesite.xml是软连接，且spark和hive混布，那么需要直接cp该文件到SPARKHOME/conf下面。 3. Sparkdefaults.conf中如果hadoop集群开启了Kerberos认证，那么需要配置spark.sql。 2. 启动spark thrift server。 SPARKHOME/sbin/startthriftserver.sh 3. 如果当前集群已启用Kerberos认证，执行以下命令认证当前用户。如果当前集群未启用Kerberos认证，则无需执行此命令。 1. 首先klist kt ，获取keytab文件的principal，例如 klist kt user.keytab 获得 user/hostname@realm。 2. 然后kinit kt ，例如 kinit kt user.keytab user/hostname@realm。 3. Kinit认证完成登录后，可以klist l查看。 4. Beeline链接sparkthriftserver。 SPARKHOME/bin u ‘jdbc:hive2:// : / ;principaluser/hostname@realm?spark.yarn.queueroot.default’ n user 5. 执行如下命令查询所有表，返回结果中存在表test，即表示访问OBS成功。 show databases

本章节主要介绍翼MapReduce的集群管理操作。 总览 登录FusionInsight Manager，选择“集群 > 待操作集群的名称 > 概览”可以查看当前集群的主要状态信息。 在“概览”页面上可对当前集群进行基本管理操作，如启动、停止、滚动重启、同步配置等，具体如下表所示。 维护管理功能 操作入口 说明 “启动” 将集群中所有服务启动。 “停止” 将集群中所有服务停止。 “更多 > 重启” 将集群中所有服务重启。 “更多 > 滚动重启” 为集群中所有服务提供不中断业务的重启操作，具体可参考滚动重启集群。 “更多 > 同步配置” 为集群中所有服务启用新的配置参数。 “更多 > 重启配置过期的实例” 为集群中所有服务重启配置过期的实例，具体可参考管理配置过期。 “更多 > 健康检查” 为OMS、集群所有服务和所有节点进行健康检查，健康检查可以包含三方面检查项：各检查对象的运行状态、相关的告警和自定义的监控指标，检查结果并不能等同于界面上显示的“运行状态”。健康检查的结果可直接在检查列表左上角单击“导出报告”，选择导出结果。如果发现问题，可以单击“查看帮助”。 “ 更多 > 下载客户端” 为用户下载默认的客户端，具体可参考下载客户端。 “ 更多 > 导出安装模板” 将集群所有安装配置批量导出，例如集群认证模式、节点信息、服务配置等，可用于相同环境下集群重新安装的场景。 “更多 > 导出配置” 将集群所有服务的配置批量导出。 “更多 > 进入维护模式/退出维护模式” 配置集群进入/退出维护模式。 “更多 > 维护模式视图” 查看集群进入维护状态的服务或主机。

介绍创建用户并授权使用Kafka 对资源进行精细访问控制 您可以使用统一身份认证（Identity and Access Management，简称IAM）服务对所拥有的Kafka服务进行精细的权限管理。IAM用户的作用是多用户协同操作同一帐号时，避免分享帐号的密码。 您注册后，系统自动创建帐号，帐号是对其所拥有的资源具有完全控制权限，可以访问系统中所有的云服务。若您的团队或应用程序需要使用您的Kafka资源，您可以为员工或应用程序创建IAM用户，并授予IAM用户刚好能完成工作所需的权限，新创建的IAM用户可以使用自己单独的用户名和密码登录云服务平台。 前提条件 基于IAM服务进行权限管理控制时，您需先了解Kafka的策略管理，包含Kafka所支持的系统策略管理，以及各策略间资源粒度的授权情况。 授权流程 左侧导航栏分别包含“用户组”、“子用户”、“策略管理”、“企业项目”，用户根据个人需要进行操作资源的权限控制。 授权具体流程为：创建IAM用户 > 创建用户组并授权Kafka资源权限 > 为IAM用户授权，具体操作步骤如下： 创建IAM用户 使用天翼云网门户的用户管理功能，给员工或应用程序创建IAM子用户。 步骤 1 企业的天翼云管理员使用已注册的天翼云帐号登录天翼云网门户。 步骤 2 鼠标移动至天翼云首页右上角用户头像，在下拉列表中单击“个人中心”。 步骤 3 个人中心左侧菜单中，单击“主子账号及授权管理”。 步骤 4 在主子账号及授权管理页，单击左侧导航菜单中的“子用户”。 步骤 5 在“子用户”管理界面中，单击“创建子用户”。 步骤 6 在弹出的创建用户对话框中，输入子用户信息。 步骤 7 单击“确定”，完成IAM用户创建，返回子用户列表，将显示新创建的IAM用户。

本文介绍弹性文件服务安全监控告警方面的内容。 云监控服务是天翼云针对云网资源的一项监控服务，弹性文件通过云监控服务提供监控和告警能力。通过查看文件系统的监控数据，您可以了解到文件系统的使用情况。通过设置告警规则可以监控文件系统实例异常情况，保障业务正常进行。 关于弹性文件服务支持的监控指标，以及如何创建监控告警规则等内容，请参见监控。

本文为您介绍如何注册天翼云门户账号。 在创建和使用密钥管理服务之前，您需要先注册天翼云门户的账号。本节将介绍如何进行账号注册，如果您拥有天翼云的账号，请跳转到开通密钥管理服务。 1. 登录天翼云门户，单击“免费注册” ； 2. 在注册页面，请填写“邮箱地址”、“登录密码”、“手机号码”，并点击 同意协议并提交 ，如1分钟内手机未收到验证码，请再次点击 免费获取短信验证码 ； 3. 注册成功后，可到邮箱激活您的账号或立即体验天翼云。

本文带您快速入门多活容灾服务。 使用条件 1. 已经注册并开通天翼云账号。 2. 当前账号已开通多活容灾服务，拥有使用多活容灾服务的权限。 3. 已经完成实名认证。 使用流程 多活容灾服务使用流程如图所示。 1. 开通多活容灾服务。 2. 若生产中心为三方数据中心时，需新增三方数据中心。 3. 创建命名空间。在控制台命名空间页面创建命名空间，用户可以创建多个命名空间，用于逻辑隔离不同的资源。 4. 同步/纳管资源。在多活容灾服务平台使用相关资源之前，用户需通过资源管理模块对资源进行同步或新增操作，以便MDR侧能够实现资源的统一管理。 5. 创建容灾管理中心。用户可以根据业务需要使用一个或若干个容灾管理中心，容灾管理中心与命名空间为一对十绑定关系。 6. 接入应用（可选）。应用接入可帮助用户对容灾管理中心的云主机资源进行流量配比与健康检查监控，云主机资源健康情况可在监控大盘中查看。同时，可以帮助用户进一步将容灾管理中心的资源（如云主机、存储、数据库）按应用维度进行细粒度划分，提升资源管理便捷性。 7. 预案编排。预案编排涵盖预案阶段和预案管理两方面。预案阶段模块中，帮助用户以任务为单位进行串行或并行编排成预案阶段。预案管理模块中，用户可根据多个预案阶段互相衔接组成整体预案流程，预案流程为后续灾备演练和应急切换提供整体流程方案。 8. 容灾演练。容灾演练旨在确保灾难发生后能够快速恢复业务而进行的一系列的演练任务，涉及的演练任务来源于相应的预案流程，演练时演练任务为实战演练。 9. 应急切换。应急切换用于灾难发生后为了快速恢复业务而进行的一系列切换或恢复任务，涉及的演练任务来源于相应的预案流程。故障切换场景下可根据预设的切换预案流程拉起依次数据库、存储、灾备云主机等相关服务；故障回切场景下可根据预设的回切预案流程执行数据库、存储、容灾云主机的回切操作，以确保业务正常运行。

本页介绍天翼云分布式融合数据库HTAP服务等级协议。 天翼云分布式融合数据库HTAP服务等级协议（SLA）获取地址：天翼云分布式融合数据库HTAP服务等级协议。

本节帮助您了解如何查看QoS策略。 操作场景 创建QoS策略后，您可以查看该策略中的规则和关联的设备。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成QoS策略的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本节我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 选择“QoS策略”，单击目标QoS策略的名称，进入策略详情页。 5. 在策略详情页的“规则”、“关联实例”页签下，分别可以查看该策略的规则详情和关联实例。

本节介绍应用组删除的操作步骤。 操作场景 用户将创建好的自定义应用组删除。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 待删除的应用组中不包含应用。 应用组没有关联QoS策略。 系统应用组不可删除。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本节我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 选择“应用管理”，单击“应用组管理”。 5. 单击目标应用组“操作”列的“删除”。 6. 单击“确定”，完成自定义应用组删除。

本文解释从天翼云CDN访问到的文件和直接回源结果不一样的原因和解决方案。 背景说明 使用天翼云CDN加速后，如用户请求的文件在节点已有缓存，则直接响应给用户；如用户请求的文件为首次访问，或文件过期，则CDN节点会回源站获取文件，缓存在节点并响应给用户。 正常情况下，用户请求CDN节点和直接访问源站，访问到的内容相同。本文主要介绍CDN节点和源站文件内容如果不一致时，可能的原因及解决方案。 详细内容 从天翼云CDN访问到的文件和直接回源结果如不一样，可从以下几方面着手进行分析： 1.CDN节点回源，会在用户请求基础上增加部分请求头，源站如对相应请求头有处理策略上的差异，可能会导致响应不同内容 用户请求至CDN节点后，CDN节点会在原始请求头基础上增加类似如下的请求头： Via: http/1.1 fjningde5xxx[aff7324a97b346daaf21ba85e1876868] (ApacheTrafficServer/xxx)；该请求头值为请求进入CDN节点后经过的节点信息。 RequestId：9011f7a06787a0fd560cd724dd9989fb；该请求头值为对应请求的唯一ID。 如果源站针对上述请求头有做特殊处理，例如，有Via时可能响应不同的值，则会导致CDN和源站响应不同内容。 解决方案：可尝试通过直接回源请求，并逐个新增携带上述请求头，对比是否与源站获取的内容一致，直到找到造成响应差异的对应请求头。此后，可通过调整源站设置，或在CDN节点配置去掉对应请求头来规避问题。目前，删除CDN内部请求头尚不支持自助，需要提交工单给天翼云客服人工处理。

本章主要介绍翼MapReduce的启用集群间拷贝功能。 操作场景 当用户需要将保存在HDFS中的数据从当前集群备份到另外一个集群时，需要使用DistCp工具。DistCp工具依赖于集群间拷贝功能，该功能默认未启用。拷贝数据的集群双方都需要配置。 管理员可以根据以下指导，在FusionInsight Manager修改参数以启用集群间拷贝功能。启用之后即可创建将数据备份至远端HDFS（RemoteHDFS）的备份任务。 对系统的影响 启用集群间复制功能需要重启Yarn，服务重启期间无法访问。 前提条件 拷贝数据的集群的HDFS的参数“hadoop.rpc.protection”需使用相同的数据传输方式。默认设置为“privacy”表示加密，“authentication”表示不加密。 对于安全模式的集群，集群之间需要配置系统互信。 操作步骤 1.登录其中一个集群的FusionInsight Manager。 2.选择“集群 > 待操作集群的名称 > 服务> Yarn > 配置”，单击“全部配置”。 3.左边菜单栏中选择“Yarn > 集群间拷贝”。 4.修改参数“dfs.namenode.rpcaddress”，在“haclusterX.remotenn1”右侧填写对端集群其中一个NameNode实例的业务IP和RPC端口，在“haclusterX.remotenn2”右侧填写对端集群另外一个NameNode实例的业务IP和RPC端口。 “haclusterX.remotenn1”和“haclusterX.remotenn2”不区分主备NameNode。NameNode RPC端口默认为“8020”，不支持通过Manager修改。 修改后参数值例如：“10.1.1.1:8020”和“10.1.1.2:8020”。 说明 如果本集群数据要备份至多个集群的HDFS中，可以继续配置对应的NameNode RPC地址至haclusterX1、haclusterX2、haclusterX3、haclusterX4。 5.单击“保存”，并在确认对话框中单击“确定”。 6.重启Yarn服务。 7.登录另外一个集群的FusionInsight Manager，重复2~6。

本章主要介绍翼MapReduce的加固策略功能。 加固Tomcat 在FusionInsight Manager软件安装及使用过程中，针对Tomcat基于开源做了如下功能增强： 升级Tomcat版本为官方稳定版本。 设置应用程序webapplications之下的目录权限为500，对webapplications之下的部分目录支持写权限。 系统软件安装完成后自动清除Tomcat安装包。 webapplications下针对工程禁用自动部署功能，只部署了web、cas和clientregistry三个工程。 禁用部分未使用的http方法，防止被他人利用攻击。 更改Tomcat服务器默认shutdown端口号和命令，避免被黑客捕获利用关闭服务器，降低对服务器和应用的威胁。 出于安全考虑，更改“maxHttpHeaderSize”的取值，给服务器管理员更大的可控性，以控制客户端不正常的请求行为。 安装Tomcat后，修改Tomcat版本描述文件。 为了避免暴露Tomcat自身的信息，更改Connector的Server属性值，使攻击者不易获知服务器的相关信息。 控制Tomcat自身配置文件、可执行文件、日志目录、临时目录等文件和目录的权限。 关闭会话facade回收重用功能，避免请求泄漏风险。 CookieProcessor使用LegacyCookieProcessor，避免cookie中的敏感数据泄漏。 加固LDAP 在安装完集群后，针对LDAP做了如下功能增强： LDAP配置文件中管理员密码使用SHA加密，当升级openldap版本为2.4.39或更高时，主备LDAP节点服务自动采用SASL External机制进行数据同步，避免密码信息被非法获取。 集群中的LDAP服务默认支持SSLv3协议，可安全使用。当升级openldap版本为2.4.39或更高时，LDAP将自动使用TLS1.0以上的协议通讯，避免未知的安全风险。

本章主要介绍翼MapReduce的恢复Kafka元数据功能。 操作场景 在用户意外修改、删除或需要找回数据时，系统管理员对ZooKeeper进行重大操作（如升级、重大数据调整等）后，系统数据出现异常或未达到预期结果，导致Kafka组件全部故障无法使用，或者迁移数据到新集群的场景中，需要对Kafka元数据进行恢复数据操作。 系统管理员可以通过FusionInsight Manager创建恢复Kafka任务。只支持创建任务手动恢复数据。 须知 只支持进行数据备份时的系统版本与当前系统版本一致时的数据恢复。 当业务正常时需要恢复Kafka元数据，建议手动备份最新Kafka元数据后，再执行恢复操作。否则会丢失从备份时刻到恢复时刻之间的Kafka元数据信息。 对系统的影响 元数据恢复后，会丢失从备份时刻到恢复时刻之间的数据。 元数据恢复后，Kafka的消费者在ZooKeeper上保存的offset信息将会回退，可能导致重复消费。 前提条件 如果需要从远端HDFS恢复数据，需要准备备集群。如果主集群部署为安全模式，且主备集群不是由同一个FusionInsight Manager管理，则必须配置系统互信，请参见配置跨Manager集群互信。如果主集群部署为普通模式，则不需要配置互信。 主备集群必须已配置跨集群拷贝，请参见启用集群间拷贝功能。 主备集群上的时间必须一致，而且主备集群上的NTP服务必须使用同一个时间源。 先停止Kafka服务，待恢复完成后，再启动Kafka服务。 登录FusionInsight Manager，请参见登录管理系统。

本章主要介绍翼MapReduce的备份HDFS业务数据功能。 操作场景 为了确保HDFS日常用户的业务数据安全，或者系统管理员需要对HDFS进行重大操作（如升级或迁移等），需要对HDFS数据进行备份，从而保证系统在出现异常或未达到预期结果时可以及时进行数据恢复，将对业务的影响降到最低。 系统管理员可以通过FusionInsight Manager创建备份HDFS任务并备份数据。支持创建任务自动或手动备份数据。 说明 加密目录不支持备份恢复。 前提条件 如果数据要备份至远端HDFS中，需要准备一个用于备份数据的备集群，认证模式需要与主集群相同。其他备份方式不需要准备备集群。 如果主集群部署为安全模式，且主备集群不是由同一个FusionInsight Manager管理，则必须配置系统互信，请参见配置跨Manager集群互信。如果主集群部署为普通模式，则不需要配置互信。 主备集群必须已配置跨集群拷贝，请参见启用集群间拷贝功能。 主备集群上的时间必须一致，而且主备集群上的NTP服务必须使用同一个时间源。 根据业务需要，规划备份任务的类型、周期、备份对象、备份目录和备份任务需要使用的Yarn队列等策略规格。 检查备集群HDFS是否有充足的空间，备份文件保存的目录建议使用用户自定义的目录。 使用HDFS客户端，以“hdfs”用户执行hdfs lsSnapshottableDir检查当前集群中已创建HDFS快照的目录清单，确保待备份的数据文件所在HDFS路径的父目录或子目录不存在HDFS快照，否则无法创建备份任务。 如果数据要备份至NAS中，需要提前部署好NAS服务端。

本章节主要介绍翼MapReduce的切换Ranger鉴权操作。 操作场景 新安装的安全模式集群默认即安装了Ranger服务并启用了Ranger鉴权，用户可以通过组件的权限插件对组件资源的访问设置细粒度的安全访问策略。若不需使用Ranger进行鉴权，管理员可在服务页面手动停用Ranger鉴权，停用Ranger鉴权后，访问组件资源时系统将继续基于FusionInsight Manager的角色模型进行权限控制。 从历史版本升级的集群，用户访问组件资源时默认不使用Ranger鉴权，管理员可在安装了Ranger服务后手动启用Ranger鉴权。 说明 安全模式集群中，支持使用Ranger鉴权的组件包括：HDFS、Yarn、Kafka、Hive、HBase、Storm、Spark2x、Impala。 非安全模式集群中，Ranger可以支持基于OS用户进行组件资源的权限控制，支持启用Ranger鉴权的组件包括：HBase、HDFS、Hive、Spark2x、Yarn。 启用Ranger鉴权后，该组件所有鉴权将由Ranger统一管理，原鉴权插件设置的权限将会失效（HDFS与Yarn的组件ACL规则仍将生效），请谨慎操作，建议提前在Ranger上做好权限部署。 停用Ranger鉴权后，该组件所有鉴权将由组件自身权限插件管理，Ranger上设置的权限将会失效，请谨慎操作，建议提前在Manager上做好权限部署。 启用Ranger鉴权 1. 登录FusionInsight Manager。 2. 选择“集群 > 服务”。 3. 单击服务视图中指定的服务名称。 4. 在服务详情页面单击“更多”，选择“启用Ranger鉴权”。 5. 输入当前登录的用户密码确认身份，单击“确定”。 6. 在服务列表，重启配置过期的服务。

本章主要介绍翼MapReduce的恢复DBService数据功能。 操作场景 在用户意外修改、删除或需要找回数据时，系统管理员对DBService进行重大操作（如升级、重大数据调整等）后，系统数据出现异常或未达到预期结果，模块全部故障无法使用，或者迁移数据到新集群的场景中，需要对DBService进行恢复数据操作。 系统管理员可以通过FusionInsight Manager创建恢复DBService任务。只支持创建任务手动恢复数据。 须知 只支持进行数据备份时的系统版本与当前系统版本一致时的数据恢复。 当业务正常时需要恢复数据，建议手动备份最新管理数据后，再执行恢复数据操作。否则会丢失从备份时刻到恢复时刻之间的DBService数据。 MRS集群中默认使用DBService保存Hive、Hue、Loader、Spark、Oozie的元数据。恢复DBService的数据将恢复全部相关组件的元数据。 对系统的影响 数据恢复后，会丢失从备份时刻到恢复时刻之间的数据。 数据恢复后，依赖DBService的组件可能配置过期，需要重启配置过期的服务。 前提条件 如果需要从远端HDFS恢复数据，需要准备备集群。如果主集群部署为安全模式，且主备集群不是由同一个FusionInsight Manager管理，则必须配置系统互信，请参见配置跨Manager集群互信。如果主集群部署为普通模式，则不需要配置互信。 主备集群必须已配置跨集群拷贝，请参见启用集群间拷贝功能。 主备集群上的时间必须一致，而且主备集群上的NTP服务必须使用同一个时间源。 检查DBService主备实例状态是否正常。如果不正常，不能执行恢复操作。

本章节主要介绍翼MapReduce的修改用户密码操作。 操作场景 出于安全的考虑，“人机”类型系统用户密码必须定期修改。 如果用户具备使用FusionInsight Manager的权限时，可以通过FusionInsight Manager完成修改自身密码工作。 如果用户不具备使用FusionInsight Manager的权限时，可以通过客户端修改自身密码。 前提条件 从管理员获取当前的密码策略。 已在集群内的任一节点安装了客户端，并获取此节点IP地址。请联系管理员获取客户端安装用户密码。 使用FusionInsight Manager修改密码 1. 登录FusionInsight Manager。 2. 移动鼠标到界面右上角的用户名。 在弹出菜单中单击“修改密码”。 3. 在“密码修改界面”分别输入“旧密码”、“新密码”、“确认新密码”，单击“确定”完成修改。 默认密码复杂度要求： 密码字符长度最小为8位。 至少需要包含大写字母、小写字母、数字、空格、特殊字符5种类型字符中的4种。支持的特殊字符为~!@ $%^&()+[{}];', /? 。 不可和用户名相同或用户名的倒序字符相同。 不可以为常见的易破解密码。 不可与最近N次使用过的密码相同，N为配置密码策略中“重复使用规则”的值。 使用客户端修改密码 1. 以客户端安装用户登录安装客户端的节点。 2. 执行以下命令，切换到客户端目录，例如“/opt/Bigdata/client”。 cd /opt/Bigdata/client 3. 执行以下命令，配置环境变量。 source bigdataenv 4. 执行以下命令，修改系统用户密码。此操作对所有服务器生效。 kpasswd 系统用户名称 例如，修改系统用户“test1”，执行 kpasswd test1 。 默认密码复杂度要求： 密码字符长度最小为8位。 至少需要包含大写字母、小写字母、数字、空格、特殊字符5种类型字符中的4种。支持的特殊字符为~!@

本章节主要介绍翼MapReduce的多租户功能。 定义 多租户是MRS集群中的多个资源集合（每个资源集合是一个租户），具有分配和调度资源的能力。资源包括计算资源和存储资源。 背景 现代企业的数据集群在向集中化和云化方向发展，企业级大数据集群需要满足： 不同用户在集群上运行不同类型的应用和作业（分析、查询、流处理等），同时存放不同类型和格式的数据。 某些类型的用户（例如银行、政府单位等）对数据安全非常关注，很难容忍将自己的数据与其他用户的放在一起。 这给大数据集群带来了以下挑战： 合理地分配和调度资源，以支持多种应用和作业在集群上平稳运行。 对不同的用户进行严格的访问控制，以保证数据和业务的安全。 多租户将大数据集群的资源隔离成一个个资源集合，彼此互不干扰，用户通过“租用”需要的资源集合，来运行应用和作业，并存放数据。在大数据集群上可以存在多个资源集合来支持多个用户的不同需求。 对此，MRS企业级大数据集群提供了完整的企业级大数据多租户解决方案。 优势 合理配置和隔离资源 租户之间的资源是隔离的，一个租户对资源的使用不影响其他租户，保证了每个租户根据业务需求去配置相关的资源，可提高资源利用效率。 测量和统计资源消费 系统资源以租户为单位进行计划和分配，租户是系统资源的申请者和消费者，其资源消费能够被测量和统计。 保证数据安全和访问安全 多租户场景下，分开存放不同租户的数据，以保证数据安全；控制用户对租户资源的访问权限，以保证访问安全。

本文为您介绍云监控IAM权限策略。 统一身份认证IAM介绍 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。 IAM为您提供的主要功能包括：精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他帐号管理资源等。 1、身份管理 访问控制IAM中的身份包括IAM用户、IAM用户组。 IAM用户有确定的登录密码和访问密钥，IAM用户组则用于分类职责相同的IAM用户，IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中，避免直接共享天翼云账号的密码等信息，缩小不同IAM子用户的信息可见范围，可为IAM子用户和IAM用户组按需授权，即使不慎泄露机密信息，也不会危及天翼云账号下的所有资源。 2、权限管理 统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素“Action”“Effect”等信息。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 权限策略分为系统策略和自定义策略: 系统策略 ： 预置的系统策略，您只能使用不能修改，具体说明请查看系统策略。 其中云监控服务相关的系统策略包含如下： 云监控管理者(admin) ：云监控服务的管理者权限，包含云监控服务的所有控制权限； 云监控查看者（viewer）:云监控服务的查看者权限，包含资源列表、告警规则列表查看等权限； 自定义策略 ： 您按需自行创建和维护的权限策略，关于自定义策略的操作和示例，请参见创建自定义策略。

参数 参数说明 插件规格 根据业务需求，选择插件的规格，包含如下选项： 演示规格（100容器以内）：适用于体验和功能演示环境，该规模下prometheus占用资源较少，但处理能力有限。建议在集群内容器数目不超过100时使用。 小规格（2000容器以内）：建议在集群中的容器数目不超过2000时使用。 中规格（5000容器以内）：建议在集群中的容器数目不超过5000时使用。 大规格（超过5000容器）：建议集群中容器数目超过5000时使用此规格。 实例数 选择上方插件规格后，显示插件中的实例数，此处仅作显示。 容器 选择插件规格后，显示插件容器的CPU和内存配额，此处仅作显示。 监控数据保留期 自定义监控数据需要保留的天数，默认为15天。 存储 按照界面提示配置如下参数： 类型：支持云硬盘。 可用区：请根据业务需要进行选择。可用区是在同一区域下，电力、网络隔离的物理区域，可用区之间内网互通，不同可用区之间物理隔离。 子类型：支持普通IO、高IO和超高IO三种类型。 容量：请根据业务需要输入存储容量，默认10G。 说明： 若命名空间monitoring下已存在pvc，将使用此存储作为存储源。

本文帮助您了解如何查看对象存储相关的监控图表数据并设置告警规则,约定在一些特殊情况出现时向用户发送告警通知。 操作场景 ZOS支持数据监控功能，您可以通过云监控获得用户维度和桶维度的各种指标信息，支持查看各个存储类型（标准、低频、归档）和冗余类型（单AZ、多AZ）下的细颗粒度统计数据。 约束与限制 云监控服务不需要开通，会在用户创建资源ZOS后自动启动。 云监控支持的资源池请参见产品能力地图。 存储桶维度的监控 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在控制台上方点击，选择地域，以下操作选择杭州7。 3. 在控制台首页，选择“存储>对象存储”。 4. 在对象存储桶列表选择需要查看监控的bucket，并点击该bucket右侧的"监控"。 5. 在监控数据界面中，可查看该存储桶的各项监控指标，分别为总存储容量、总对象数量、本月公网流出流量、本月请求次数、公网流出流量、公网流入流量、内网流出流量、内网流入流量、平均使用带宽、公网请求次数、内网请求次数、有效请求率、数据取回流量、操作分类平均延时、操作分类最大延时、成功请求操作分类。 注意 对于公共资源池中的地域，如华东华东1，您可以在天翼云官网首页点击产品迁移及管理管理工具云监控管理控制台，直接在云监控产品中，选择对象存储监控，通过切换地域的方式，来查看地域内各项监控指标。

本节介绍应用迁移的操作步骤。 操作场景： 用户将一个应用组中的应用迁移到其他应用组中。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本节我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 选择“应用管理”，单击“应用组管理”。 5. 单击目标应用组“操作”列的“应用迁移”。 6. 根据页面提示选择当前应用组中需要迁移的应用（支持多选），以及待迁移的目标应用组。 7. 单击“确定”，完成应用迁移。

本文介绍如何创建IAM子用户并授予特定权限策略,从而控制对VPN连接资源的访问。 操作步骤 1、创建用户组和IAM用户 1、创建用户组并给用户组授权，具体配置说明详见：创建用户组和授权。 2、创建IAM用户，并使用新创建的用户登录天翼云，具体配置说明详见：创建IAM用户和登录。 2、创建自定义策略 天翼云提供了访问VPN连接资源的系统策略。如果系统策略不能满足需求，您还可以创建自定义策略，具体配置说明详见：创建自定义策略。 目前IAM支持以下两种方式创建自定义策略： 可视化视图：通过可视化视图创建自定义策略，无需了解JSON语法，按可视化视图导航栏选择云服务、操作、资源、条件等策略内容，可自动生成策略。 JSON视图：通过JSON视图创建自定义策略，可以直接在编辑框内编写JSON格式的策略内容。

本文为您介绍停用告警规则的操作场景、前提条件和操作步骤。 操作场景 当您的告警规则临时需要停用时，您可以在控制台停用此告警规则。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已完成告警规则的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控”，进入监控概览页面。 4. 单击“告警服务”下拉菜单，单击“告警规则”，进入告警规则详情页面。 5. 在“告警规则”界面，单击告警规则所在行“操作”列的“停用”，在弹出的“停用”界面，单击“确定”按钮，可以停用告警规则。 6. 或在“告警规则”界面，可勾选多个告警规则，单击批量“停用”，在弹出的“停用”界面，单击“确定”按钮，可以批量停用多个告警规则。

本文为您介绍删除告警规则的操作场景、前提条件和操作步骤。 操作场景 当您业务发生变更或告警规则不需要使用时，您可以删除该告警规则。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已完成告警规则的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控”，进入监控概览页面。 4. 单击“告警服务”下拉菜单，单击“告警规则”，进入告警规则详情页面。 5. 在“告警规则”界面，单击告警规则所在行“操作”列的“删除”，在弹出的“删除告警规则”界面，单击“确定”，可以删除告警规则。 6. 或在“告警规则”界面，可勾选多个告警规则，单击“删除”，在弹出的“删除告警规则”界面，单击“确定”，可以删除多个告警规则。

时间粒度 可查询历史数据时间范围 数据延迟 单次可查询的时间跨度 1m 最近7天 5分钟 1小时 5m 最近186天 20分钟 5小时 1h 最近186天 20分钟 1天 24h 最近186天 20分钟 31天

本文为您介绍删除站点监控的操作场景、前提条件和操作步骤。 操作场景 站点监控不需要使用时，您可以在控制台进行删除操作。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已完成站点监控的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控”，进入监控概览页面。 4. 单击“站点监控”，进入“站点监控”列表页。 5. 单击站点监控所在行“操作”列的“删除站点监控”，在弹出的“删除站点监控”界面，单击“确定”，可以删除站点监控。 6. 或勾选站点监控前的复选框，单击“删除”，在弹出的“删除站点监控”界面，单击“确定”，可以删除多个站点监控。

依据您所设定的告警规则，当告警发生后，您可以在告警记录查看告警历史，信息包括：发生时间、实例信息、告警规则等。 操作场景 适用于已经配置告警规则，在对应实例指标/事件信息触发告警规则，会对应产生告警记录。告警记录模块包含：告警总览、活动告警、历史告警。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 查看告警记录 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控服务”，进入监控概览页面。 4. 选择“告警服务>告警记录”菜单，即可进入告警记录页面，默认为告警总览信息。 5. 切换至“活动告警”、历史告警”，可以查看当前时间活动告警/历史告警记录。

参数 是否必填 参数类型 说明 示例 下级对象 sourceType 否 String 迁移源类型，默认为S3，①S3：AWS及S3适配；②OSS：阿里云OSS；③COS：腾讯云COS；④OBS：华为云OBS；⑤OOS：天翼云OOS；⑥ZOS：天翼云对象存储ZOS S3 sourceEndpoint 是 String 迁移资源池地址，支持输入IP或域名，以 sourceBucket 是 String 迁移源桶，输入限制不超过1024字符 bucketkpblz sourceAccessKey 是 String 迁移源资源池ak，输入限制不超过1024字符 7Hj9Kp2QXXXm5Nv3RfX sourceSecretKey 是 String 迁移源资源池sk，输入限制不超过1024字符 bL8yT4wXXXG6dS1xE9P sourceBucketType 否 String 源资源池迁移模，默认为Bucket。①Bucket：整桶迁移；②Folder：文件夹迁移；③Files：文件迁移；④Prefix：前缀迁移 Bucket migrateFolder 否 Array of Strings 指定源资源池迁移的文件夹列表，仅当sourceBucketType为Folder时有效，当前仅支持指定单个文件夹，单个文件夹名输入限制不超过1024字符 ["folder1"] migrateFiles 否 Array of Strings 指定源资源池迁移的文件名列表，仅当sourceBucketType为Files时有效，当前指定文件上限为100个，单个对象名输入限制不超过1024字符 ["files1","files2"] migratePrefix 否 Array of Strings 指定源资源池迁移的前缀列表，仅当sourceBucketType为Prefix时有效，当前只支持指定单个前缀，单个前缀名输入限制不超过1024字符 ["prefix1"]

本章节主要介绍如何注册天翼云账号。 在创建和使用数据湖探索服务之前，您需要先注册天翼云门户的账号。本节将介绍如何进行账号注册，如果您拥有天翼云的账号，请跳转到“数据湖探索服务”。 1.登录天翼云门户 2.在注册页面，有“账号注册”、“短信注册”两种注册方式供您选择。 此处以“账号注册”为例进行介绍： 您可根据页面引导填写“登录名”、“登录密码”、“手机号码”，“短信验证码”并勾选协议，点击“注册”按钮，如1分钟内手机未收到验证码，请再次点击“获取验证码”按钮； 3.注册成功后，可到邮箱激活您的账号，立即体验天翼云。

您可以使用HPFSNFS客户端进行挂载，本文帮助您快速上手文件系统挂载。 操作场景 当创建文件系统后，如您需要使用云主机或CPU物理机来挂载该文件系统，实现多个客户端共享访问的场景。 前提条件 在需要操作的地域已创建虚拟私有云VPC，具体操作步骤参见创建虚拟私有云VPC。 已创建该VPC下的弹性云主机，操作系统为Linux，具体操作步骤参见创建弹性云主机。 已创建并行文件的文件系统，具体操作步骤参见创建文件系统。 文件系统配置了协议服务功能，具体操作步骤参见创建协议服务。 操作步骤 1. 登录天翼云控制中心，单击管理控制台左上角的，选择地域。 2. 选择“计算”>“弹性云主机”，进入弹性云主机控制台页面，找到即将执行挂载操作的云主机。 3. 以root用户登录该弹性云主机。 4. 执行以下命令查询该云主机是否安装NFS客户端，若没有返回安装结果，执行第5步进行安装。 plaintext rpm qa grep nfsutils 5. 安装NFS客户端。安装时注意不同操作系统执行命令不同。 CentOS系统，执行以下命令： plaintext yum y install nfsutils Ubuntu系统，执行以下命令： plaintext sudo aptget install nfscommon 6. 执行如下命令创建本地挂载路径，例如“/mnt/hpfs”。 plaintext mkdir /mnt/hpfs 7. 执行如下命令挂载文件系统。 plaintext mount t nfs o vers3,prototcp,async,nolock,noatime,nodiratime,noresvport,wsize1048576,rsize1048576,timeo600 挂载地址 本地挂载路径 注意 文件系统详情页>协议服务列表：查看VPC挂载地址或VPCE挂载地址，可根据您客户端组网方式选择，具体操作步骤参见：查询协议服务。 挂载命令参数说明： 参数 说明 vers 文件系统版本，可选3或4。建议取值：3。 proto 客户端向服务器发起传输请求使用的协议，可以为udp或者tcp，建议取值：tcp。 async sync为同步写入，表示将写入文件的数据立即写入服务端；async为异步写入，表示将数据先写入缓存，再写入服务端。同步写入要求NFS服务器必须将每个数据都刷入服务端后，才可以返回成功，时延较高。建议取值：async。 nolock 选择是否使用NLM协议在服务端锁文件。当选择nolock选项时，不使用NLM锁，锁请求仅在本机进行，仅对本机有效，其他客户端不受锁的影响。如果不存在多客户端同时修改同一文件的场景，建议取值nolock以获取更好的性能。如不加此参数，则默认为lock。 noatime 如果不需要记录文件的访问时间，可以设置该参数。避免频繁访问时，修改访问时间带来的开销。 nodiratime 如果不需要记录目录的访问时间，可以设置该参数。避免频繁访问时，修改访问时间带来的开销。 noresvport 网络故障时自动切换端口，保障网络连接。手动挂载和自动挂载时均建议加入此参数。 wsize 每次向服务器写入文件的最大字节数，实际数据小于或等于此值。wsize必须是1024倍数的正整数，小于1024时自动设为4096，大于1048576时自动设为1048576。默认时服务器和客户端进行协商后设置。建议取值：最大值1048576。 rsize 每次向服务器读取文件的最大字节数，实际数据小于或等于此值。rsize必须是1024倍数的正整数，小于1024时自动设为4096，大于1048576时自动设为1048576。默认时服务器和客户端进行协商后设置。建议取值：最大值1048576。 timeo NFS客户端重传请求前的等待时间(单位为0.1秒)。建议取值：600。 挂载地址 挂载地址在文件系统详情页获取，在文件系统详情页>协议服务列表，选择VPC挂载地址或VPCE挂载地址，点击复制即可。 本地挂载路径 本地挂载路径为云主机上用于挂载文件系统的本地路径，例如上一步创建的“/mnt/hpfs”。 8. 建议使用NFSv3协议挂载，如需使用NFSv4协议挂载，请在每个NFS客户端按以下步骤配置nfs4uniqueid。 plaintext