云服务器内容精选

  • 华为云服务如何使用KMS加密数据? 华为云服务(包含OBS、IMS、EVS、SFS和RDS)使用KMS提供的信封加密方式来保护用户的数据。 信封加密方式,是一种加密手段,将加密数据的数据密钥封入信封中存储、传递和使用,不再使用用户主密钥直接加解密数据。 用户使用云服务加密数据时,需要指定一个KMS用户主密钥。密钥管理服务会生成一个明文的 数据加密 密钥(DEK)和一个伴生的密文的数据加密密钥(DEK),明文数据密钥用于服务中存储的数据、文件等内容加密,密文数据加密密钥对明文数据密钥进行加密。完成加密后,被加密的数据文件以及密文数据密钥会存储在对应服务中,如下图所示。 图1 华为云服务使用KMS加密原理 用户通过华为云服务下载数据时,华为云服务通过KMS指定的用户主密钥对密文的数据加密密钥进行解密,并使用解密得到的明文的数据加密密钥来解密密文数据,然后将解密后的明文数据提供给用户下载。 父主题: 密钥管理类
  • 解决办法 在集群所在VPC对应重点节点策略中,将当前Region的补丁桶放通,以保证 MRS 集群节点可以正常获取补丁文件。 使用具有管理权限的用户登录终端节点控制台。 单击管理控制台左上角的Region信息,选择区域和项目。 在终端节点列表中,单击终端节点ID。 选择进入“策略”页面,单击“编辑”,修改策略信息。 例如只允许VPC1内的服务器下载账号A的桶mybucket中的对象。 其中VPC1的ID为:4dad1f75-0361-4aa4-ac75-1ffdda3a0fec,账号A的账号ID为:783fc6652cf246c096ea836694f71855。 [ { "Action": [ "obs:object:GetObject" ], "Resource": [ "obs:*:783fc6652cf246c096ea836694f71855:object:mybucket/*" ], "Effect": "Allow" } ] 更多VPCEP策略配置说明可参考https://support.huaweicloud.com/usermanual-vpcep/vpcep_03_3002.html。 MRS集群各Region中补丁对应OBS文件桶信息如下: 华东-上海一:mrs-container1-patch-cn-east-3 西南-贵阳一:mrs-container1-patch-cn-southwest-2 华北-北京四:mrs-container1-patch-cn-north-4 华北-北京一:mrs-container1-patch-cn-north-1 华北-北京二:mrs-container1-patch-cn-north-2 华东-上海二:mrs-container1-patch-cn-east-2 华南-广州:mrs-container1-patch-cn-south-1 单击“完成”。
  • 证书格式转换为PEM格式 表1 证书转换命令 格式类型 转换方式(通过OpenSSL工具进行转换) CER/CRT 将“cert.crt”证书文件直接重命名为“cert.pem”。 PFX 提取私钥命令,以“cert.pfx”转换为“key.pem”为例。 openssl pkcs12 -in cert.pfx -nocerts -out key.pem 提取证书命令,以“cert.pfx”转换为“cert.pem”为例。 openssl pkcs12 -in cert.pfx -nokeys -out cert.pem P7B 证书转换,以“cert.p7b”转换为“cert.cer”为例。 openssl pkcs7 -print_certs -in cert.p7b -out cert.cer 将“cert.cer”证书文件直接重命名为“cert.pem”。 DER 提取私钥命令,以“privatekey.der”转换为“privatekey.pem”为例。 openssl rsa -inform DER -outform PEM -in privatekey.der -out privatekey.pem 提取证书命令,以“cert.cer”转换为“cert.pem”为例。 openssl x509 -inform der -in cert.cer -out cert.pem
  • 证书编码格式为PK CS 8时 由于华为云WAF、ELB、CDN服务暂时不支持PKCS8编码格式,因此,当您将PKCS8编码格式的证书上传到SSL证书管理平台,再部署至WAF、ELB、CDN三个服务时,会报错。 如果证书私钥文件以“-----BEGIN PRIVATE KEY-----”开头,则说明该证书是PKCS8编码格式。 如果证书私钥文件以“-----BEGIN RSA PRIVATE KEY-----”开头,则说明该证书是PKCS1编码格式。 当您的公钥或者私钥的编码格式是PKCS8格式时,需要执行如下操作,才能将PKCS8编码格式的证书成功地运用到WAF、ELB、CDN服务。 证书格式是否为PEM格式。 是,执行2。 否,参照证书格式转换为PEM格式将证书格式转换为PEM后,再执行2。 执行如下命令将PKCS8编码格式转换为PKCS1编码格式。 PKCS8格式私钥转换为PKCS1格式 openssl rsa -in pkcs8.pem -out pkcs1.pem PKCS8公钥转PKCS1公钥 openssl rsa -pubin -in public.pem -RSAPublicKey_out 将转换后的证书上传至SSL证书管理平台,详细的操作请参见上传证书。 再将证书部署到对应的华为云服务,详细的操作请参见部署证书到云产品。
  • 操作场景 云审计 服务管理控制台支持对已创建的管理类追踪器增加OBS转储、LTS转储等相关配置。 用户可以选择是否将已记录的事件发送到OBS桶永久保存。如果用户想要对管理类事件进行统一管理,还可以设置将多个账号记录的事件统一转储到一个OBS桶。 OBS桶有标准存储、低频访问存储和归档存储三种类型。由于云审计服务需要高频次的访问转储的OBS桶,您在云审计控制台新建的OBS桶默认是一个单AZ标准存储的私有桶。如果您需要其他额外配置,建议提前在OBS服务创建OBS桶。详情请参考创建桶。 配置追踪器完成后,系统立即以新的规则开始记录操作。 本节介绍如何配置管理类事件追踪器。
  • 本地使用Linux操作系统 如果您是在Linux操作系统上登录Linu弹性云服务器,可以按照下面方式登录。下面步骤以私钥文件是“kp-123.ppk”为例进行介绍。 在您的Linux计算机的命令行中执行以下命令,变更权限。 chmod 600 /path/kp-123.ppk path为密钥文件的存放路径。 执行以下命令登录弹性云服务器。 ssh -i /path/kp-123 root@弹性IP地址 path为密钥文件的存放路径。 弹性IP地址为弹性云服务器绑定的弹性IP地址。
  • 什么是用户主密钥? 用户主密钥(Customer Master Key,CMK),是用户或云服务通过密钥管理创建的密钥,是一种密钥加密密钥,主要用于加密并保护数据加密密钥。一个用户主密钥可以加密多个数据加密密钥。 用户主密钥分为自定义密钥和默认密钥。 自定义密钥 用户通过密钥管理界面自行创建或导入的密钥。 默认密钥 在用户第一次通过对应云服务使用KMS加密时,云服务自动通过密钥管理为用户创建的密钥,其别名后缀为“/default”。 默认密钥可通过密钥管理界面进行查询,不支持禁用、计划删除操作。 表1 默认主密钥列表 密钥别名 对应云服务 obs/default 对象存储服务 (Object Storage Service,OBS) evs/default 云硬盘(Elastic Volume Service,EVS) ims/default 镜像服务 (Image Management Service,IMS) kps/default 密钥对管理服务(Key Pair Service,KPS) csms/default 云凭据管理服务(Cloud Secret Management Service,C SMS ) dlf/default 数据治理中心 DataArts Studio ) 父主题: 密钥管理类
  • MRS是否支持变更MRS集群节点? MRS管理控制台不支持变更集群节点,也不建议用户在ECS管理控制台直接修改MRS集群节点。 如果手动在ECS管理控制台对集群节点执行停止ECS、删除ECS、修改或重装ECS操作系统,以及修改ECS规格的操作,可能影响集群稳定运行。 如果您对MRS集群节点进行了上述操作,MRS会自动识别并直接删除发生变更的集群节点。 您可以登录MRS管理控制台,通过扩容恢复已经删除的节点。请勿在扩容过程中对正在扩容的节点进行操作。 父主题: 节点管理类
  • 如何查看所有MRS集群? MRS所有的集群都展示在MRS管理控制台的“MRS集群”页面中,进入“MRS集群”页面,可查看所有集群。集群数量较多时,可采用翻页显示,您可以查看任何状态下的集群。 现有集群:包括除了“失败”和“已删除”状态以外的所有集群。 历史集群:仅包含“已删除”状态的集群,目前界面只显示6个月内创建且已删除的集群,如果需要查看6个月以前删除的集群,请联系技术支持人员。 失败任务管理:仅包含“失败”状态的任务。 集群创建失败的任务 集群删除失败的任务 集群扩容失败的任务 集群缩容失败的任务 父主题: 集群管理类
  • 如何查看MRS集群各组件配置文件路径? 常用组件配置文件路径如下所示: 组件 配置文件目录 ClickHouse 客户端安装路径/ClickHouse/clickhouse/config Flink 客户端安装路径/Flink/flink/conf Flume Flume客户端安装目录/fusioninsight-flume-xxx/conf HBase 客户端安装路径/HBase/hbase/conf HDFS 客户端安装路径/HDFS/hadoop/etc/hadoop Hive 客户端安装路径/Hive/config Hudi 客户端安装路径/Hudi/hudi/conf Kafka 客户端安装路径/Kafka/kafka/config Loader 客户端安装路径/Loader/loader-tools-xxx/loader-tool/conf 客户端安装路径/Loader/loader-tools-xxx/schedule-tool/conf 客户端安装路径/Loader/loader-tools-xxx/shell-client/conf 客户端安装路径/Loader/loader-tools-xxx/sqoop-shell/conf Oozie 客户端安装路径/Oozie/oozie-client-xxx/conf Spark2x 客户端安装路径/Spark2x/spark/conf Yarn 客户端安装路径/Yarn/config ZooKeeper 客户端安装路径/Zookeeper/zookeeper/conf 父主题: 组件管理类
  • 为什么MRS Console页面Flink作业状态与Yarn上的作业状态不一致? 问:为什么MRS Console页面Flink作业状态与Yarn上的作业状态不一致? 答:为了节约存储空间,用户修改了Yarn的配置项yarn.resourcemanager.max-completed-applications,减小yarn上历史作业的记录保存个数。由于Flink是长时作业,在yarn上realJob还在运行,但launcherJob已经被删除,导致因从Yarn上查不到launcherJob,从而更新作业状态失败。该问题在2.1.0.6补丁中解决。 解决方法:终止找不到launcherJob的作业,后续提交的作业状态就会更新。 父主题: 作业管理类
  • 解决方法 请选择正确的登录入口。请确认您输入的账号为华为账号或华为云账号,如果您已升级华为账号,请进入“华为账号登录”入口,如图1。如果您暂未升级华为账号,请进入“华为云账号登录”入口,如图2。 如需通过华为企业合作伙伴、企业联邦用户登录华为云,请参考:登录华为云。 如果您是 IAM 用户,请进入“IAM用户登录”入口。如果您登录失败,请参考:IAM用户登录失败怎么办。 图1 华为账号登录 图2 华为云账号 “华为账号登录”方式登录华为云时,支持使用手机号、邮件地址、华为账号名、华为云账号名登录。“华为云账号登录”方式登录时,支持使用华为云账号名、邮件地址登录。 如果您已 注册华为账号 ,请输入华为账号绑定的手机号/邮件地址/华为账号名登录华为云,详情请参考:华为账号登录华为云。 如果您未注册华为账号、已注册华为云账号,且华为云账号暂未升级华为账号,请输入原华为云账号名登录。 如您通过华为账号登录,请输入华为账号的密码。如您通过华为云账号登录,请输入华为云账号的密码。
  • 提示OBS Bucket没有授权怎么办? DLI 更新委托后,将原有的dli_admin_agency升级为dli_management_agency。 dli_management_agency包含跨源操作、 消息通知 、用户授权操作所需的权限,除此之外的其他委托权限需求,都需自定义DLI委托。 授权DLI读写OBS的权限并不包含在的DLI委托dli_management_agency中。需要您创建自定义委托,并将委托配置在作业中(使用Flink 1.15和Spark 3.3及以上版本的引擎执行作业时需要配置)。 了解dli_management_agency请参考DLI委托概述。 创建自定义委托并在作业中配置委托的操作步骤请参考自定义DLI委托权限。 父主题: DLI权限管理类
  • job的pod已经执行完成的情况下,为什么依然有实例在挂卷等事件,并且事件信息是失败的? 问题现象: job的Pod已经执行完成的情况下,依然有实例在挂卷等事件,并且事件信息是失败的。 图1 问题截图 问题原因: 各种类型的Pod(Deployment/StatefulSet/Job/CronJob)在Node上启动时: 由kubelet针对该Pod创建podWorker(独立协程)负责检测Pod与关联volume的挂载情况:每隔0.3s检测当前Pod所需挂载的volume都已经挂载成功,检测超时为2min3s;如果检测周期中以及最终超时到达时Pod关联volume都没有检测到挂载成功,则上报事件“Unable to mount volumes for pod …”。 由kubelet中VolumeManager(独立协程)负责具体实施Pod关联volume的挂载操作。 对于long running的Pod(Deployment/StatefulSet),除了类似镜像拉取失败、存储挂载失败、容器网络分配失败、当前节点CPU/Mem不满足Pod的实际使用要求等异常场景外,Pod容器如果最终都会启动成功时,上述podWorker在几次周期后都会判定挂载成功。 而对于短时运行的Pod(Job/CronJob),由于容器中业务存在正常退出(如问题场景的GCS Demo job只执行一些echo和ls命令,总体耗时1s不到),就存在短时Pod运行退出时如果刚好在两次podwork检测volume挂载周期中,那么就会出现本问题单所述的误报,但是不影响业务使用,且实际的Job业务还是会运行超过上述时间的。 当前kubelet上述能力属于社区挂载框架既有能力。 解决方法: 针对短时运行的Pod(Job/CronJob),可能存在由于运行时间过短而误报卷挂载超时的情况,如果这类短时运行任务属于正常退出,则该误报对业务没有影响可以忽略。 父主题: 存储管理类
  • 如何从容器访问公网? 您可以使用公有云平台提供的NAT网关服务。该服务能够为虚拟私有云内的容器提供 网络地址转换 (Network Address Translation)服务,使虚拟私有云内的容器可以共享使用弹性公网IP访问Internet。通过NAT网关的SNAT功能,可以直接访问Internet,提供超大并发数的连接服务,适用于请求量大、连接数多的服务。详细信息请参见从容器中访问公网。 父主题: 网络管理类