华为云用户手册

Channel Selector Channel Selector可以允许一个Source对接多个Channel，通过选择不同的Selector类型来将Source的数据进行分流或者复制，目前Flume提供的Channel Selector有两种：Replicating和Multiplexing。 Replicating：表示Source的数据同步发送给所有Channel。 Multiplexing：表示根据Event中的Header的指定字段的值来进行判断，从而选择相应的Channel进行发送，从而起到根据业务类型进行分流的目的。 Replicating配置样例： client.sources = kafkasource client.channels = channel1 channel2 client.sources.kafkasource.type = org.apache.flume.source.kafka.KafkaSource client.sources.kafkasource.kafka.topics = topic1,topic2 client.sources.kafkasource.kafka.consumer.group.id = flume client.sources.kafkasource.kafka.bootstrap.servers = 10.69.112.108:21007 client.sources.kafkasource.kafka.security.protocol = SASL_PLAINTEXT client.sources.kafkasource.batchDurationMillis = 1000 client.sources.kafkasource.batchSize = 800 client.sources.kafkasource.channels = channel1 channel2 client.sources.kafkasource.selector.type = replicating client.sources.kafkasource.selector.optional = channel2 表1 Replicating配置样例参数说明 选项名称 默认值 描述 Selector.type replicating Selector类型，应配置为replicating Selector.optional - 可选Channel，可以配置为列表 Multiplexing配置样例： client.sources = kafkasource client.channels = channel1 channel2 client.sources.kafkasource.type = org.apache.flume.source.kafka.KafkaSource client.sources.kafkasource.kafka.topics = topic1,topic2 client.sources.kafkasource.kafka.consumer.group.id = flume client.sources.kafkasource.kafka.bootstrap.servers = 10.69.112.108:21007 client.sources.kafkasource.kafka.security.protocol = SASL_PLAINTEXT client.sources.kafkasource.batchDurationMillis = 1000 client.sources.kafkasource.batchSize = 800 client.sources.kafkasource.channels = channel1 channel2 client.sources.kafkasource.selector.type = multiplexing client.sources.kafkasource.selector.header = myheader client.sources.kafkasource.selector.mapping.topic1 = channel1 client.sources.kafkasource.selector.mapping.topic2 = channel2 client.sources.kafkasource.selector.default = channel1 表2 Multiplexing配置样例参数说明 选项名称 默认值 描述 Selector.type replicating Selector类型，应配置为multiplexing Selector.header Flume.selector.header - Multiplexing类型的Selector的样例中，选择Event中Header名称为topic的字段来进行判断，当Header中topic字段的值为topic1时，向channel1发送该Event，当Header中topic字段的值为topic2时，向channel2发送该Event。 这种Selector需要借助Source中Event的特定Header来进行Channel的选择，需要根据业务场景选择合理的Header来进行数据分流。

Interceptors Flume的拦截器（Interceptor）支持在数据传输过程中修改或丢弃传输的基本单元Event。用户可以通过在配置中指定Flume内建拦截器的类名列表，也可以开发自定义的拦截器来实现Event的修改或丢弃。Flume内建支持的拦截器如下表所示，本章节会选取一个较为复杂的作为示例。其余的用户可以根据需要自行配置使用。 拦截器用在Flume的Source、Channel之间，大部分的Source都带有Interceptor参数。用户可以依据需要配置。 Flume支持一个Source配置多个拦截器，各拦截器名称用空格分开。 指定拦截器的顺序就是它们被调用的顺序。 使用拦截器在Header中插入的内容，都可以在Sink中读取并使用。 表5 Flume内建支持的拦截器类型 拦截器类型 简要描述 Timestamp Interceptor 该拦截器会在Event的Header中插入一个时间戳。 Host Interceptor 该拦截器会在Event的Header中插入当前Agent所在节点的IP或主机名。 Remove Header Interceptor 该拦截器会依据Header中包含的符合正则匹配的字符串，丢弃掉对应的Event。 UUID Interceptor 该拦截器会为每个Event的Header生成一个UUID字符串。 Search and Replace Interceptor 该拦截器基于Java正则表达式提供简单的基于字符串的搜索和替换功能。与Java Matcher.replaceAll() 的规则相同。 Regex Filtering Interceptor 该拦截器通过将Event的Body体解释为文本文件，与配置的正则表达式进行匹配来选择性的过滤Event。提供的正则表达式可用于排除或包含事件。 Regex Extractor Interceptor 该拦截器使用正则表达式抽取原始events中的内容，并将该内容加入events的header中。 下面以Regex Filtering Interceptor 为例说明Interceptor使用（其余的可参考官网配置）： 表6 Regex Filtering Interceptor配置参数说明 选项名称 默认值 描述 type - 组件类型名称，必须写为regex_filter。 regex - 用于匹配事件的正则表达式。 excludeEvents false 默认收集匹配到的Event。设置为true，则会删除匹配的Event，保留不匹配的。 配置示例（为了方便观察，此模型使用了netcat tcp作为Source源，logger作为Sink）。配置好如下参数后，在Linux的配置的主机节点上执行Linux命令“telnet 主机名或IP 44444”，并任意敲入符合正则和不符合正则的字符串。会在日志中观察到，只有匹配到的字符串被传输了。 #define the source、channel、sink server.sources = r1 server.channels = c1 server.sinks = k1 #config the source server.sources.r1.type = netcat server.sources.r1.bind = ${主机IP} server.sources.r1.port = 44444 server.sources.r1.interceptors= i1 server.sources.r1.interceptors.i1.type= regex_filter server.sources.r1.interceptors.i1.regex= (flume)|(myflume) server.sources.r1.interceptors.i1.excludeEvents= false server.sources.r1.channels = c1 #config the channel server.channels.c1.type = memory server.channels.c1.capacity = 1000 server.channels.c1.transactionCapacity = 100 #config the sink server.sinks.k1.type = logger server.sinks.k1.channel = c1

模块间性能 根据模块间性能对比，可以看到对于前端是SpoolDir Source的场景下，Kafka Sink和HDFS Sink都能满足吞吐量要求，但是HBase Sink由于自身写入性能较低的原因，会成为性能瓶颈，会导致数据都积压在Channel中。但是如果有必须使用HBase Sink或者其他性能容易成为瓶颈的Sink的场景时，可以选择使用Channel Selector或者Sink Group来满足性能要求。

常用Channel配置 Memory Channel Memory Channel使用内存作为缓存区，Events存放在内存队列中。常用配置如下表所示： 表12 Memory Channel常用配置 参数 默认值 描述 type - memory channel的类型，必须设置为memory。 capacity 10000 缓存在channel中的最大Event数。 transactionCapacity 1000 每次存取的最大Event数。 说明： 此参数值需要大于source和sink的batchSize。 事务缓存容量必须小于或等于Channel缓存容量。 channelfullcount 10 channel full次数，达到该次数后发送告警。 keep-alive 3 当事务缓存或Channel缓存满时，Put、Take线程等待时间。单位：秒。 byteCapacity JVM最大内存的80% channel中最多能容纳所有event body的总字节数，默认是 JVM最大可用内存（-Xmx ）的80%，单位：bytes。 byteCapacityBufferPercentage 20 channel中字节容量百分比（%）。 File Channel File Channel使用本地磁盘作为缓存区，Events存放在设置的dataDirs配置项文件夹中。常用配置如下表所示： 表13 File Channel常用配置 参数 默认值 描述 type - file channel的类型，必须设置为file。 checkpointDir ${BIGDATA_DATA_HOME}/hadoop/data1~N/flume/checkpoint 说明： 此路径随自定义数据路径变更。 检查点存放路径。 dataDirs ${BIGDATA_DATA_HOME}/hadoop/data1~N/flume/data 说明： 此路径随自定义数据路径变更。 数据缓存路径，设置多个路径可提升性能，中间用逗号分开。 maxFileSize 2146435071 单个缓存文件的最大值，单位：bytes。 minimumRequiredSpace 524288000 缓冲区空闲空间最小值，单位：bytes。 capacity 1000000 缓存在channel中的最大Event数。 transactionCapacity 10000 每次存取的最大Event数。 说明： 此参数值需要大于source和sink的batchSize。 事务缓存容量必须小于或等于Channel缓存容量。 channelfullcount 10 channel full次数，达到该次数后发送告警。 useDualCheckpoints false 是否备份检查点。设置为“true”时，必须设置backupCheckpointDir的参数值。 backupCheckpointDir - 备份检查点路径。 checkpointInterval 30000 检查点间隔时间，单位：秒。 keep-alive 3 当事务缓存或Channel缓存满时，Put、Take线程等待时间。单位：秒。 use-log-replay-v1 false 是否启用旧的回复逻辑。 use-fast-replay false 是否使用队列回复。 checkpointOnClose true channel关闭时是否创建检查点。 Memory File Channel Memory File Channel同时使用内存和本地磁盘作为缓存区，消息可持久化，性能优于File Channel，接近Memory Channel的性能。此Channel目前处于试验阶段，可靠性不够高，不建议在生产环境使用。常用配置如下表所示： 表14 Memory File Channel常用配置 参数 默认值 描述 type org.apache.flume.channel.MemoryFileChannel memory file channel的类型，必须设置为“org.apache.flume.channel.MemoryFileChannel”。 capacity 50000 Channel缓存容量：缓存在Channel中的最大Event数。 transactionCapacity 5000 事务缓存容量：一次事务能处理的最大Event数。 说明： 此参数值需要大于source和sink的batchSize。 事务缓存容量必须小于或等于Channel缓存容量。 subqueueByteCapacity 20971520 每个subqueue最多保存多少byte的Event，单位：byte。 Memory File Channel采用queue和subqueue两级缓存，event保存在subqueue，subqueue保存在queue。 subqueue能保存多少event，由“subqueueCapacity”和“subqueueInterval”两个参数决定，“subqueueCapacity”限制subqueue内的Event总容量，“subqueueInterval”限制subqueue保存Event的时长，只有subqueue达到“subqueueCapacity”或“subqueueInterval”上限时，subqueue内的Event才会发往目的地。 说明： “subqueueByteCapacity”必须大于一个batchsize内的Event总容量。 subqueueInterval 2000 每个subqueue最多保存一段多长时间的Event，单位：毫秒。 keep-alive 3 当事务缓存或Channel缓存满时，Put、Take线程等待时间。 单位：秒。 dataDir - 缓存本地文件存储目录。 byteCapacity JVM最大内存的80% Channel缓存容量。 单位：bytes。 compression-type None 消息压缩格式：“none”或“deflate”。“none”表示不压缩，“deflate”表示压缩。 channelfullcount 10 channel full次数，达到该次数后发送告警。 Memory File Channel配置样例： server.channels.c1.type = org.apache.flume.channel.MemoryFileChannel server.channels.c1.dataDir = /opt/flume/mfdata server.channels.c1.subqueueByteCapacity = 20971520 server.channels.c1.subqueueInterval=2000 server.channels.c1.capacity = 500000 server.channels.c1.transactionCapacity = 40000 Kafka Channel Kafka Channel使用Kafka集群缓存数据，Kafka提供高可用、多副本，以防Flume或Kafka Broker崩溃，Channel中的数据会立即被Sink消费。 表15 Kafka channel 常用配置 Parameter Default Value Description type - kafka channel的类型，必须设置为 “org.apache.flume.channel.kafka.KafkaChannel”。 kafka.bootstrap.servers - Kafka的bootstrap地址端口列表。 如果集群已安装Kafka并且配置已经同步，则服务端可以不配置此项，默认值为Kafka集群中所有的broker列表。客户端必须配置该项，多个值用逗号分隔。端口和安全协议的匹配规则必须为：21007匹配安全模式（SASL_PLAINTEXT），9092匹配普通模式（PLAINTEXT）。 kafka.topic flume-channel channel用来缓存数据的topic。 kafka.consumer.group.id flume 从kafka中获取数据的组标识，此参数不能为空。 parseAsFlumeEvent true 是否解析为Flume event。 migrateZookeeperOffsets true 当Kafka没有存储offset时，是否从ZooKeeper中查找，并提交到Kafka。 kafka.consumer.auto.offset.reset latest 当没有offset记录时从什么位置消费，可选为“earliest”、“latest”或“none”。“earliest”表示将offset重置为初始点，“latest”表示将offset置为最新位置点，“none”表示如果没有offset则发生异常。 kafka.producer.security.protocol SASL_PLAINTEXT Kafka生产安全协议。端口和安全协议的匹配规则必须为：21007匹配安全模式（SASL_PLAINTEXT），9092匹配普通模式（PLAINTEXT）。 说明： 如果该参数没有显示，请单击弹窗左下角的"+"显示全部参数。 kafka.consumer.security.protocol SASL_PLAINTEXT 同上，但用于消费。端口和安全协议的匹配规则必须为：21007匹配安全模式（SASL_PLAINTEXT），9092匹配普通模式（PLAINTEXT）。 pollTimeout 500 consumer调用poll()函数能接受的最大超时时间，单位：毫秒。 ignoreLongMessage false 是否丢弃超大消息。 messageMaxLength 1000012 Flume写入Kafka的消息的最大长度。

业务模型配置指导 本任务旨在提供Flume常用模块的性能差异，用于指导用户进行合理的Flume业务配置，避免出现前端Source和后端Sink性能不匹配进而导致整体业务性能不达标的场景。 本任务只针对于单通道的场景进行比较说明。 Flume业务配置及模块选择过程中，一般要求Sink的极限吞吐量需要大于Source的极限吞吐量，否则在极限负载的场景下，Source往Channel的写入速度大于Sink从Channel取出的速度，从而导致Channel频繁被写满，进而影响性能表现。 Avro Source和Avro Sink一般都是成对出现，用于多个Flume Agent间进行数据中转，因此一般场景下Avro Source和Avro Sink都不会成为性能瓶颈。

示例 导出到HDFS 将简单查询结果导出到文件“hdfs://path/to/result.txt”中，并指定导出格式为 CS V。 集群已启用Kerberos认证（安全模式） SELECT * FROM example_db.test_export_tbl INTO OUTFILE "hdfs://192.168.67.78:25000/tmp/result_" FORMAT AS CSV PROPERTIES ( "broker.name" = "broker_192_168_67_78", "column_separator" = ",", "line_delimiter" = "\n", "max_file_size" = "100MB", "broker.hadoop.security.authentication" = "kerberos", "broker.kerberos_principal" = "doris/hadoop.hadoop.com@HADOOP.COM", "broker.kerberos_keytab" = "${BIGDATA_HOME}/ FusionInsight _Doris_8.3.0/install/FusionInsight-Doris-1.2.3/doris-fe/bin/doris.keytab" ); 集群未启用Kerberos认证（普通模式） SELECT * FROM example_db.test_export_tbl INTO OUTFILE "hdfs://192.168.67.78:25000/tmp/result_" FORMAT AS CSV PROPERTIES ( "broker.name" = "broker_192_168_67_78", "column_separator" = ",", "line_delimiter" = "\n", "max_file_size" = "100MB", "broker.username"="hdfs", "broker.password"="" ); 导出到本地文件 导出到本地文件时需要先在“fe.conf”中配置enable_outfile_to_local=true。 select * from tbl1 limit 10 INTO OUTFILE "file:///home/work/path/result_";

审计日志表字段介绍 表1 审计日志表字段介绍 字段名称 字段类型 字段描述 query_id varchar(48) 查询任务的ID。 time datetime 查询开始时间。 client_ip varchar(200) 客户端的IP地址和端口号。 user varchar(64) 执行查询语句的用户名。 catalog varchar(128) 查询所属的Catalog名称。 db varchar(96) 查询所属的数据库名称。 state varchar(8) 查询结果状态。 error_code int 查询失败时的错误码。 error_message string 查询失败时的错误信息。 query_time bigint 查询执行时间，单位为ms。 scan_bytes bigint 查询总共扫描的字节数。 scan_rows bigint 查询总共扫描的行数。 return_rows bigint 查询结果返回的行数。 stmt_id int 自增ID。 is_query tinyint 是否为查询语句。 1：表示是查询语句。 0：表示不是查询语句。 frontend_ip varchar(200) 执行查询的FE的IP地址。 cpu_time_ms bigint 查询总共消耗的CPU时间。 sql_hash varchar(48) 查询的HASH值。 sql_digest varchar(48) SQL摘要，非慢查询时为空。 peak_memory_bytes bigint 所有BE节点使用的内存峰值，单位为字节。 stmt string 具体执行的SQL语句信息。 reserve1 string 保留字段1。 reserve2 string 保留字段2。

操作步骤 使用Ranger管理员用户rangeradmin登录Ranger管理页面，具体操作可参考登录Ranger WebUI界面。 在首页中单击“KAFKA”区域的组件插件名称如“Kafka”。 单击“Add New Policy”，添加Kafka权限控制策略。 根据业务需求配置相关参数。 表1 Kafka权限参数 参数名称 描述 Policy Type Access。 Policy Conditions IP过滤策略，可自定义，配置当前策略适用的主机节点，可填写一个或多个IP或IP段，并且IP填写支持“*”通配符，例如：192.168.1.10,192.168.1.20或者192.168.1.*。 Policy Name 策略名称，可自定义，不能与本服务内其他策略名称重复。 Policy Label 为当前策略指定一个标签，您可以根据这些标签搜索报告和筛选策略。 topic 配置当前策略适用的topic名，可以填写多个值。这里支持通配符，例如：test、test*、*。 “Include”策略适用于当前输入的对象，“Exclude”表示策略适用于除去当前输入内容之外的其他对象。 Description 策略描述信息。 Audit Logging 是否审计此策略。 Allow Conditions 策略允许条件，配置本策略内允许的权限及例外，例外条件优先级高于正常条件。 在“Select Role”、“Select Group”、“Select User”列选择已创建好的需要授予权限的Role、用户组或用户。 单击“Add Conditions”，添加策略适用的IP地址范围，单击“Add Permissions”，添加对应权限。 Publish：生产权限。 Consume：消费权限。 Describe：查询权限。 Create： 创建主题权限。 Delete： 删除主题权限。 Describe Configs：查询配置权限。 Alter：修改topic的partition数量的权限。 Alter Configs：修改配置权限。 Select/Deselect All：全选/取消全选。 如需添加多条权限控制规则，可单击按钮添加。 如需当前条件中的用户或用户组管理本条策略，可勾选“Delegate Admin”，这些用户将成为受委托的管理员。被委托的管理员可以更新、删除本策略，它还可以基于原始策略创建子策略。 Deny Conditions 策略拒绝条件，配置本策略内拒绝的权限及例外，配置方法与“Allow Conditions”类型，拒绝条件的优先级高于“Allow Conditions”中配置的允许条件。 例如为用户“testuser”添加“test”主题的生产权限，配置如下： 图1 Kafka权限参数 表2 设置权限 任务场景 角色授权操作 设置Kafka管理员权限 在首页中单击“KAFKA”区域的组件插件名称，例如“Kafka”。 选择“Policy Name”为“all - topic”的策略，单击按钮编辑策略。 在“Allow Conditions”区域，单击“Select User”下选择框选择用户。 单击“Add Permissions”，勾选“Select/Deselect All”。 设置用户对Topic的创建权限 在“topic”配置Topic名。 在“Allow Conditions”区域，单击“Select User”下选择框选择用户。 单击“Add Permissions”，勾选“Create”。 说明： 目前Kafka内核支持"--zookeeper"和"--bootstrap-server"两种方式创建Topic，社区将会在后续的版本中删掉对"--zookeeper"的支持，所以建议用户使用"--bootstrap-server"的方式创建Topic。 注意：目前Kafka只支持"--bootstrap-server"方式创建Topic行为的鉴权，不支持对"--zookeeper"方式的鉴权 设置用户对Topic的删除权限 在“topic”配置Topic名。 在“Allow Conditions”区域，单击“Select User”下选择框选择用户。 单击“Add Permissions”，勾选“Delete”。 说明： 目前Kafka内核支持"--zookeeper"和"--bootstrap-server"两种方式删除Topic，社区将会在后续的版本中删掉对"--zookeeper"的支持，所以建议用户使用"--bootstrap-server"的方式删除Topic。 注意：目前Kafka只支持对"--bootstrap-server"方式删除Topic行为的鉴权，不支持对"--zookeeper"方式的鉴权 设置用户对Topic的查询权限 在“topic”配置Topic名。 在“Allow Conditions”区域，单击“Select User”下选择框选择用户。 单击“Add Permissions”，勾选“Describe”和“Describe Configs”。 说明： 目前Kafka内核支持"--zookeeper"和"--bootstrap-server"两种方式查询Topic，社区将会在后续的版本中删掉对"--zookeeper"的支持，所以建议用户使用"--bootstrap-server"的方式查询Topic。 注意：目前Kafka只支持对"--bootstrap-server"方式查询Topic行为的鉴权，不支持对"--zookeeper"方式的鉴权 设置用户对Topic的生产权限 在“topic”配置Topic名。 在“Allow Conditions”区域，单击“Select User”下选择框选择用户。 单击“Add Permissions”，勾选“Publish”。 设置用户对Topic的消费权限 在“topic”配置Topic名。 在“Allow Conditions”区域，单击“Select User”下选择框选择用户。 单击“Add Permissions”，勾选“Consume”。 说明： 因为消费Topic时，涉及到Offset的管理操作，必须同时开启ConsumerGroup的“Consume”权限，详见“设置用户对ConsumerGroup Offsets的提交权限” 设置用户对Topic的扩容权限（增加分区） 在“topic”配置Topic名。 在“Allow Conditions”区域，单击“Select User”下选择框选择用户。 单击“Add Permissions”，勾选“Alter”。 设置用户对Topic的配置修改权限 当前Kafka内核暂不支持基于“--bootstrap-server”的Topic参数修改行为，故当前Ranger不支持对此行为的鉴权操作。 设置用户对Cluster的所有管理权限 在“cluster”右侧输入并选择集群名。 在“Allow Conditions”区域，单击“Select User”下选择框选择用户。 单击“Add Permissions”，勾选“Kafka Admin”。 设置用户对Cluster的创建权限 在首页中单击“KAFKA”区域的组件插件名称，例如“Kafka”。 选择“Policy Name”为“all - cluster”的策略，单击按钮编辑策略。 在“cluster”右侧输入并选择集群名。 在“Allow Conditions”区域，单击“Select User”下选择框选择用户。 单击“Add Permissions”，勾选“Create”。 说明： 对于Cluster的Create操作鉴权主要涉及以下两个场景： 集群开启了“auto.create.topics.enable”参数后，客户端向服务的还未创建的Topic发送数据的场景，此时会判断用户是否有集群的Create权限 对于用户创建大量Topic的场景，如果授予用户Cluster Create权限，那么该用户可以在集群内部创建任意Topic 设置用户对Cluster的配置修改权限 在“cluster”右侧输入并选择集群名。 在“Allow Conditions”区域，单击“Select User”下选择框选择用户。 单击“Add Permissions”，勾选“Alter Configs”。 说明： 此处的配置修改权限，指的是Broker、Broker Logger的配置权限。 当授予用户配置修改权限后，即使不授予配置查询权限也可查询配置详情（配置修改权限高于且包含配置查询权限）。 设置用户对Cluster的配置查询权限 在“cluster”右侧输入并选择集群名。 在“Allow Conditions”区域，单击“Select User”下选择框选择用户。 单击“Add Permissions”，勾选“Describe”和 “Describe Configs”。 说明： 此处查询指的是查询集群内的Broker、Broker Logger信息。该查询不涉及Topic。 设置用户对Cluster的Idempotent Write权限 在“cluster”右侧输入并选择集群名。 在“Allow Conditions”区域，单击“Select User”下选择框选择用户。 单击“Add Permissions”，勾选“Idempotent Write”。 说明： 此权限会对用户客户端的Idempotent Produce行为进行鉴权。 设置用户对Cluster的分区迁移权限管理 在“cluster”右侧输入并选择集群名。 在“Allow Conditions”区域，单击“Select User”下选择框选择用户。 单击“Add Permissions”，勾选“Alter”。 说明： Cluster的Alter权限可以对以下三种场景进行权限控制： Partition Reassign场景下，迁移副本的存储目录。 集群里各分区内部leader选举。 Acl管理（添加或删除）。 其中1和2都是集群内部Controller与Broker间、Broker与Broker间的操作，创建集群时，默认授予内置kafka用户此权限，普通用户授予此权限没有意义。 3涉及Acl的管理，Acl设计的就是用于鉴权，由于目前kafka鉴权已全部托管给Ranger，所以这个场景也基本不涉及（配置后亦不生效）。 设置用户对Cluster的Cluster Action权限 在“cluster”右侧输入并选择集群名。 在“Allow Conditions”区域，单击“Select User”下选择框选择用户。 单击“Add Permissions”，勾选“Cluster Action”。 说明： 此权限主要对集群内部副本主从同步、节点间通信进行控制，在集群创建时已经授权给内置kafka用户，普通用户授予此权限没有意义。 设置用户对TransactionalId的权限 在首页中单击“KAFKA”区域的组件插件名称，例如“Kafka”。 选择“Policy Name”为“all - transactionalid”的策略，单击按钮编辑策略。 在“transactionalid”配置事务ID。 在“Allow Conditions”区域，单击“Select User”下选择框选择用户。 单击“Add Permissions”，勾选“Publish”和 "Describe"。 说明： “Publish”权限主要对用户开启了事务特性的客户端请求进行鉴权，例如事务开启、结束、提交offset、事务性数据生产等行为。 “Describe”权限主要对于开启事务特性的客户端与Coordinator的请求进行鉴权。 建议在开启事务特性的场景下，给用户同时授予“Publish”和“Describe”权限。 设置用户对DelegationToken的权限 在首页中单击“KAFKA”区域的组件插件名称，例如“Kafka”。 选择“Policy Name”为“all - delegationtoken”的策略，单击按钮编辑策略。 在“delegationtoken”配置delegationtoken。 在“Allow Conditions”区域，单击“Select User”下选择框选择用户。 单击“Add Permissions”，勾选“ Describe”。 说明： 当前Ranger对DelegationToken的鉴权控制仅限于对查询的权限控制，不支持对DelegationToken的create、renew、expire操作的权限控制。 设置用户对ConsumerGroup Offsets的查询权限 在首页中单击“KAFKA”区域的组件插件名称，例如“Kafka”。 选择“Policy Name”为“all - consumergroup”的策略，单击按钮编辑策略。 在“consumergroup”配置需要管理的consumergroup。 在“Allow Conditions”区域，单击“Select User”下选择框选择用户。 单击“Add Permissions”，勾选“Describe”。 设置用户对ConsumerGroup Offsets的提交权限 在首页中单击“KAFKA”区域的组件插件名称，例如“Kafka”。 选择“Policy Name”为“all - consumergroup”的策略，单击按钮编辑策略。 在“consumergroup”配置需要管理的consumergroup。 在“Allow Conditions”区域，单击“Select User”下选择框选择用户。 单击“Add Permissions”，勾选“Consume”。 说明： 当给用户授予了ConsumerGroup的“Consume”权限后，用户会同时被授予“Describe”权限。 设置用户对ConsumerGroup Offsets的删除权限 在首页中单击“KAFKA”区域的组件插件名称，例如“Kafka”。 选择“Policy Name”为“all - consumergroup”的策略，单击按钮编辑策略。 在“consumergroup”配置需要管理的consumergroup。 在“Allow Conditions”区域，单击“Select User”下选择框选择用户。 单击“Add Permissions”，勾选“Delete”。 说明： 当给用户授予了ConsumerGroup的“Delete”权限后，用户会同时被授予“Describe”权限。 （可选）添加策略有效期。在页面右上角单击“Add Validity period”，设置“Start Time”和“End Time”，选择“Time Zone”。单击“Save”保存。如需添加多条策略有效期，可单击按钮添加。如需删除策略有效期，可单击按钮删除。 单击“Add”，在策略列表可查看策略的基本信息。等待策略生效后，验证相关权限是否正常。 如需禁用某条策略，可单击按钮编辑策略，设置策略开关为“Disabled”。 如果不再使用策略，可单击按钮删除策略。

约束与限制 回收站中的按需实例不会收取实例的费用，但是会收取存储空间的费用。 包年/包月的实例退订后会存入回收站中，此时不会收取实例的费用，但是会按需收取存储空间的费用。 包年/包月的实例从回收站中恢复后，计费模式会变为按需计费。 处于宽限期和保留期的实例，删除/退订后，实例不会进入回收站中，会被彻底删除。 回收站功能仅在“华北-北京一”、“华北-乌兰察布一”、“华北-北京四”、“华东-上海一”、“华东-上海二”、“华南-广州”、“中国-香港”、“亚太-曼谷”和“亚太-新加坡”上线。

模型审核和制作可以加快吗？ 为了保证模型质量，确保素材符合拍摄要求，训练前素材会经过人工审核。原则上不支持催审和加速，请耐心等待。模型审核制作耗时详情，如表1所示。 表1 模型制作耗时 模型类型 制作耗时 声音模型 基础版：约1~3个工作日。 进阶版：约1~3个工作日。 高品质：约5个工作日。 标准版形象模型 数字人定制任务提交成功后，会在1个工作日内完成审核。任务审核通过后，才能进行算法训练，会在3个工作日内训练完成并生成数字人。 Flexus分身数字人 数字人定制任务提交成功后，会在1个工作日内完成审核。任务审核通过后，才能进行算法训练，会在3个工作日内训练完成并生成数字人。 父主题： 声音和形象制作

创建类别为负载均衡的MCS对象 使用kubectl连接集群联邦，详细操作请参见使用kubectl连接集群联邦。 创建并编辑 mcs.yaml 文件，文件内容定义如下所示，参数定义请参见表1。 示例YAML定义的MCS对象关联了名为nginx的Service，将nginx的Service注册到华为云ELB的监听器上。 vi mcs.yaml apiVersion: networking.karmada.io/v1alpha1 kind: MultiClusterService metadata: name: nginx namespace: default annotations: karmada.io/elb.id: 2050857a-45ff-4312-8fdb-4a4e2052e7dc karmada.io/elb.projectid: c6629a1623df4596a4e05bb6f0a2e166 karmada.io/elb.port: "802" karmada.io/elb.health-check-flag: "on" spec: ports: - port: 80 types: - LoadBalancer 表1 关键参数说明 参数 是否必填 参数类型 描述 metadata.name 是 String MCS对象的名称，应与关联Service保持一致。 metadata.namespace 否 String MCS对象所在命名空间名称，应与关联Service所在命名空间名称保持一致。不填则默认为default。 spec.types 是 String 数组 流量方向。 实现集群间服务发现能力应配置为CrossCluster； 将服务通过ELB对外暴露应配置为LoadBalancer。 spec.ports.port 否 Integer 关联的Service需要注册到ELB监听器上的服务端口。 spec.consumerClusters.name 否 String Service的访问集群名称，应配置为期望通过MCS实现跨集群访问Service的集群名称。不填则默认设置为所有集群联邦内集群可访问该Service。 karmada.io/elb.id 是 String MCS关联的elb的id，不允许为空。 取值范围：1-32个字符。 karmada.io/elb.projectid 是 String MCS关联的elb所属的项目ID。获取方法请参见获取项目ID。 取值范围：1-32个字符。 karmada.io/elb.port 否 String MCS关联的elb的端口，不填时默认为80。 取值范围：1-65535。 karmada.io/elb.health-check-flag 否 String 是否启用健康检查，可选值为： on：开启 off：不开启 不填写时默认为off。 karmada.io/elb.health-check-option 否 HealthCheck Object 健康检查参数，详情请参见HealthCheck。 说明： 健康检查参数配置示例： karmada.io/elb.health-check-option: '{"protocol":"TCP","delay":"5","connect_port":"80","timeout":"1","max_retries":"1","path":"/wd"}' 在annotation开启健康检查配置的情况下，Service名称的长度不应超过39个字符。 karmada.io/elb.lb-algorithm 否 String 转发算法： ROUND_ROBIN：加权轮询算法。 LEAST_CONNECTIONS：加权最少连接算法。 SOURCE_IP：源IP算法。 不填写时默认为ROUND_ROBIN。 表2 HealthCheck参数说明 参数 是否必填 参数类型 描述 protocol 否 String 健康检查使用的协议。支持TCP/HTTP，默认值是TCP。 connect_port 否 Int 健康检查使用的端口。取值范围[1，65535]，为可选参数。 说明： 默认使用后端服务器默认业务端口进行健康检查。指定特定端口后，使用指定的端口进行健康检查。 delay 否 Int 健康检查的延迟时间，以秒为单位，1-50，默认值是5秒。 timeout 否 Int 健康检查的超时时间，以秒为单位，1-50，默认值是10秒。 path 否 String 健康检查的请求URL，当protocol为HTTP时生效。 以"/"开头，默认为"/"。支持使用字母、数字和短划线（-）、正斜线（/）、半角句号（.）、百分号（%）、半角问号（?）、井号（#）和and（&）以及扩展字符集。长度为1-80个字符。 max_retries 否 Int 最大重试次数，取值范围1-10，默认值是3次。 执行如下命令创建MCS对象。 kubectl apply -f mcs.yaml 创建完成后，可以执行如下命令操作MCS对象。其中nginx为MCS对象的名称。 获取MCS对象：kubectl get mcs nginx 更新MCS对象：kubectl edit mcs nginx 删除MCS对象：kubectl delete mcs nginx

准备工作 如您没有可用的ELB实例，需要先创建ELB实例，具体请参考创建独享型负载均衡器。该ELB实例需要满足以下条件： ELB为独享型。 ELB必须支持网络型（TCP/UDP）。 ELB网络类型必须支持私网（有私有IP地址）。 如果ELB与成员集群的网络不在同一VPC内，ELB需要支持开启跨VPC访问的开关。 MCS为跨集群后端工作负载提供统一入口和四层网络访问，因此需要在联邦中提前部署可用的工作负载（Deployment）和服务（Service）。若您无可用工作负载和服务，请参考无状态负载和集群内访问（ClusterIP）创建。 设置集群为underlay网络，支持underlay网络的集群类型请参见设置集群网络。

设置集群网络类型 需要保证集群的网络类型支持underlay网络，以支持集群间Pod通信。支持underlay网络的集群类型如下： 表2 支持underlay网络的集群类型 集群类型 细分类型 网络类型 是否支持underlay网络 华为云集群/伙伴云集群 CCE集群 容器隧道网络 不支持 VPC网络 支持 CCE Turbo 集群 云原生网络2.0 支持 本地集群 本地集群 同时支持overlay和underlay网络。 默认为overlay网络，要启用underaly网络需要手动配置，underaly网络相关介绍与操作请参见Cilium。 支持 多云集群 多云集群 同时支持overlay和underlay网络。 默认为overlay网络，要启用underaly网络需要手动配置，underaly网络相关介绍与操作请参见Cilium。 支持 附着集群 附着集群 需支持underlay网络 取决于附着集群网络类型

默认的DIS服务委托权限过大，应该怎么进行权限最小化处理？ 在2024年11月之前，在DIS第一次创建转储任务时，系统会自动创建dis_admin_agency委托，其中包含Tenant Administrator、Server Administrator、 SMN Administrator、 MRS Administrator、Tenant Guest、DWS Administrator、 DLI Service User、CloudTable Administrator等较大权限。在转储过程中，如果检测到dis_admin_agency委托权限不足时，还会再创建同权限的dis_admin_agency_op_svc_bigdata委托。 为了满足权限最小化的要求，您可以参考如下操作，修改系统创建的dis_admin_agency和dis_admin_agency_op_svc_bigdata委托权限，以减少安全风险。 在2024年11月之后，系统创建的dis_admin_agency和dis_admin_agency_op_svc_bigdata委托已切换为最小权限，无需再手动修改。 当前权限最小化只针对OBS转储，请检查您创建的转储任务列表，是否有其他类型的转储任务正在运行，如果有建议删除后再进行权限最小化更改。如果业务需要非OBS类型转储权限，请保持现有委托权限，切勿删除。因为删除操作不可逆，一旦删除，现有的非OBS类型转储任务由于权限缺失将无法正常运行。 授予dis_admin_agency委托最小权限并删除高危权限 登录 统一身份认证 服务 IAM 的旧版控制台。 IAM新版本支持基于身份策略授权模型，不会展示旧版控制台的角色与策略。由于DIS服务定义的委托最小化权限策略为旧版控制台的角色与策略，因此需要前往旧版控制台进行操作。 在IAM服务左侧导航窗格中，进入“委托”，搜索“dis_admin_agency”，找到dis_admin_agency委托项，单击“授权”。 图1 dis_admin_agency委托 在授权框中，找到并勾选之前DIS服务定义的委托最小化权限策略DIS Agency OBS Access和DIS Agency SMN Access，单击“下一步”。 图2 选择最小化权限策略 单击“确定”，给委托完成授权。授权后，等待约15-30分钟，新增的委托权限即可生效。 新增的委托权限生效后，在IAM服务左侧导航窗格中进入“委托”，搜索“dis_admin_agency”，找到dis_admin_agency委托项，单击委托名称进入详情页面。 图3 dis_admin_agency委托 在详情页面单击“授权记录”，在权限列表页面勾选各区域中的如下高危权限，并单击列表上方的“删除”，在弹窗中单击“确定”按钮完成高危权限删除。 Tenant Administrator Server Administrator SMN Administrator MRS Administrator Tenant Guest DWS Administrator DLI Service User CloudTable Administrator 图4 选择最小化权限策略 授予dis_admin_agency_op_svc_bigdata委托最小权限并删除高危权限 再次在IAM服务左侧导航窗格中进入“委托”，搜索“dis_admin_agency_op_svc_bigdata”。 如果该委托存在，则参考2到6，授予dis_admin_agency_op_svc_bigdata委托最小权限并删除高危权限。完成后则委托权限最小化处理完成。 如果该委托不存在，则跳过当前操作，委托权限最小化处理完成。 父主题： 一般性问题

约束限制 仅支持单网卡切换虚拟私有云。 切换虚拟私有云会导致云服务器网络中断。 切换虚拟私有云过程中，请勿操作云服务器的弹性公网IP，或对云服务器做其他操作。 切换虚拟私有云后，云服务器子网、私有IP地址、MAC地址都会发生改变。 切换虚拟私有云后，请重新配置源/目的检查和虚拟IP地址。 虚拟私有云切换完成后，与网络配置相关的应用软件需要重新配置。与网络相关的服务也需要重新配置，例如ELB、VPN、NAT、DNS等。

操作步骤 登录HECS（旧版）控制台，单击左上角的选择区域。 在云服务器列表中，单击云服务器名称。 系统跳转至该云服务器详情页面。 选择“网卡”页签，并单击“切换VPC”。 系统弹窗显示“切换VPC”页面。 图1 切换VPC 根据界面提示，在下拉列表中选择可用的虚拟私有云、子网，设置私有IP地址和安全组。 您可以同时勾选多个安全组，此时，云服务器的访问规则遵循几个安全组规则的并集。 使用多个安全组可能会影响云服务器的网络性能，建议您选择安全组的数量不多于5个。 单击“确定”。

操作步骤 登录HECS（旧版）控制台，单击左上角的选择区域。 绑定扩展弹性网卡 在云服务器列表中，单击待删除网卡的云服务器名称。 系统跳转至该云服务器详情页面。 选择“网卡”页签，并单击“删除”。 对于该云服务器的主网卡（默认为网卡列表中显示的第一个网卡），用户不能执行删除操作。 在弹出的对话框中单击“确定”，删除网卡。 对于部分云服务器，不支持在线删除网卡功能，具体以界面显示为准。您需要先关机云服务器，然后再执行删除网卡操作。

支持在线卸载云硬盘的操作系统 支持在线卸载云硬盘的操作系统包括如下两个部分： 第一部分请参见外部镜像文件的镜像格式和操作系统类型。 第二部分如表1所示。 表1 支持在线卸载云硬盘的操作系统 操作系统 版本 CentOS 7.3 64bit 7.2 64bit 6.8 64bit 6.7 64bit Debian 8.6.0 64bit 8.5.0 64bit Fedora 25 64bit 24 64bit SUSE SUSE Linux Enterprise Server 12 SP2 64bit SUSE Linux Enterprise Server 12 SP1 64bit SUSE Linux Enterprise Server 11 SP4 64bit SUSE Linux Enterprise Server 12 64bit OpenSUSE 42.2 64bit 42.1 64bit Oracle Linux Server release 7.3 64bit 7.2 64bit 6.8 64bit 6.7 64bit Ubuntu Server 16.04 64bit 14.04 64bit 14.04.4 64bit Windows（不支持在线卸载SCSI类型的云硬盘） Windows Server 2008 R2 Enterprise 64bit Windows Server 2012 R2 Standard 64bit Windows Server 2016 R2 Standard 64bit Redhat Linux Enterprise 7.3 64bit 6.8 64bit 对于其他操作系统的云服务器，请先关机然后再进行卸载磁盘操作，避免由于云硬盘设备与云服务器在线卸载不兼容而产生未知问题。

约束与限制 磁盘需挂载在数据盘盘位，即挂载点为非“/dev/sda”或“/dev/vda”挂载点。 如果磁盘挂载在“/dev/sda”或“/dev/vda”挂载点上，则表示该磁盘作为云服务器的系统盘使用，此时不允许在线卸载。 在线卸载云硬盘时，对于Windows云服务器，请确认该云服务器已安装vmtools并且正常启用；对于Linux云服务器，可以不安装vmtools。 安装vmtools操作请参考优化私有镜像。 对于Window云服务器，在线卸载云硬盘前，请确保没有程序正在对该云硬盘进行读写操作。否则，将造成数据丢失。 对于Windows云服务器，不支持在线卸载SCSI类型的云硬盘。 对于Linux云服务器，在线卸载云硬盘前，客户需要先登录云服务器，执行umount命令，取消待卸载云硬盘与文件系统之间的关联，并确保没有程序正在对该云硬盘进行读写操作。否则，卸载云硬盘将失败。 磁盘未被锁定。 磁盘加锁时，表示被锁定，此时不能执行磁盘的卸载操作。

云硬盘的类型 云耀云服务器使用的云硬盘类型有如下几种： 高IO：该类型云硬盘的最大IOPS可达5000，最低读写时延为1 ms，适用于主流的高性能、高可靠应用场景，例如企业应用、中小型开发测试以及Web服务器日志等。 超高IO：该类型云硬盘的最大IOPS可达33000，最低读写时延为1 ms，适用于超高IO，超大带宽的读写密集型应用场景，例如高性能计算应用场景，用来部署分布式文件系统，或者I/O密集型应用场景，用来部署各类NoSQL/关系型数据库。 这些类型的性能特点和价格有所不同，您可根据应用程序要求选择您所需的云硬盘。更多关于云硬盘规格、性能等信息，请参见磁盘类型及性能介绍。

操作步骤 登录HECS（旧版）控制台，单击左上角的选择区域。 单击待添加网卡的云服务器名称。 系统跳转至该云服务器详情页面。 选择“网卡”页签，并单击“添加网卡”。 选择待增加的子网和安全组，如所示。选择待增加的子网和安全组。 图1 选择子网和安全组 安全组：您可以同时勾选多个安全组，此时，云服务器的访问规则遵循几个安全组规则的并集。 私有IP地址：如果需要给云服务器添加一张指定IP地址的网卡，用户需填写“私有IP地址”。 单击“确定”。

后续任务 部分操作系统无法识别新添加的网卡，需手动激活网卡。下面以Ubuntu系统为例介绍具体激活网卡的操作步骤，其他操作系统请自行完成相关操作，如有问题，请参见对应操作系统的官网指导或手册来完成操作。 在云服务器所在行的“操作”列下，单击“远程登录”。 登录云服务器。 执行如下命令，查看网卡名称。 ifconfig -a 例如，查询到的网卡名为：eth2。 执行如下命令，进入相应目录。 cd /etc/network 执行如下命令，打开interfaces文件。 vi interfaces 在interfaces文件中，增加类似如下信息。 auto eth2 iface eth2 inet dhcp 执行如下命令，保存并退出interfaces文件。 :wq 执行命令ifup ethX或/etc/init.d/networking restart，使新增网卡生效。 上述命令中的X为具体的网卡名称序号，例如，ifup eth2。 执行如下命令，查看回显信息中是否包括2查询到的网卡。 ifconfig 例如，回显信息中包含网卡eth2。 是，表示新增网卡生效，结束。 否，表示新增网卡未生效，执行9。 登录管理控制台，在云服务器所在行的“操作”列下，选择“更多”，并单击“重启”。 再次执行命令ifconfig，查看回显信息中是否包括2查询到的网卡。 是，结束。 否，请联系技术支持人员。

操作步骤 登录HECS（旧版）控制台，单击左上角的选择区域。 在云耀云服务器列表中的右上角，输入云服务器名称、IP地址或ID，并进行搜索。 单击待挂载云硬盘的云服务器的名称。 系统跳转至该云服务器详情页面。 选择“云硬盘”页签，并单击“挂载磁盘”。 系统跳转至“挂载磁盘”页面。 图1 挂载磁盘 根据界面提示，勾选目标磁盘，并设置磁盘属性。 单击“确定”。 挂载成功后，在云服务器详情页的“云硬盘”页签，即可看到新挂载的磁盘信息。

默认安全组和规则 系统会为每个用户默认创建一个安全组，默认安全组的规则是在出方向上的数据报文全部放行，入方向访问受限，安全组内的云服务器无需添加规则即可互相访问。 如图1所示。 图1 默认安全组 默认安全组Sys-default规则如表1所示： 表1 默认安全组规则 规则方向 策略 类型 协议端口 源地址/目的地址 描述 入方向规则 允许 IPv4 全部 源地址：默认安全组（default） 针对全部IPv4协议，允许本安全组内实例的请求进入，即该条规则确保安全组内的实例网络互通。 入方向规则 允许 IPv6 全部 源地址：默认安全组（default） 针对全部IPv6协议，允许本安全组内实例的请求进入，即该条规则确保安全组内的实例网络互通。 出方向规则 允许 IPv4 全部 目的地址：0.0.0.0/0 针对全部IPv4协议，允许安全组内的实例可访问外部IP的所有端口。 出方向规则 允许 IPv6 全部 目的地址：::/0 针对全部IPv6协议，允许安全组内的实例可访问外部IP的所有端口。 父主题： 安全组管理

操作步骤 登录HECS（旧版）控制台，单击左上角的选择区域。 在云耀云服务器列表，单击待变更安全组规则的云耀云服务器名称。 系统跳转至该云耀云服务器详情页面。 选择“安全组”页签，并单击“更改安全组”。 系统弹窗显示“更改安全组”页面。 图1 更改安全组 根据界面提示，在下拉列表中选择待更改安全组的网卡，并重新选择安全组。 您可以同时勾选多个安全组，此时，云耀云服务器的访问规则遵循几个安全组规则的并集。如需创建新的安全组，请单击“新建安全组”。 使用多个安全组可能会影响云耀云服务器的网络性能，建议您选择安全组的数量不多于5个。 单击“确定”。

虚拟私有云 虚拟私有云（Virtual Private Cloud，以下简称VPC）为云服务器构建了一个逻辑上完全隔离的专有区域，您可以在自己的逻辑隔离区域中定义虚拟网络，为云服务器构建一个逻辑上完全隔离的专有区域。您还可以在VPC中定义安全组、VPN、IP地址段、带宽等网络特性，方便管理、配置内部网络，进行安全、快捷的网络变更。同时，您可以自定义安全组内与组间云服务器的访问规则，加强云服务器的安全保护。 虚拟私有云更多信息，请参见《虚拟私有云用户指南》。

Linux云服务器 以root用户登录Linux云耀云服务器。 登录方法请参见Linux云服务器登录方式概述。 执行以下命令，重置root的用户密码。 passwd 如果是重置其他用户的密码，请将“passwd”替换为“passwd username”。 根据系统显示的如下回显信息，输入新密码，新密码的复杂度需满足表1。 New password: Retype new password: 系统显示如下回显信息时，表示密码重置成功。 passwd: password updated successfully

背景信息 云服务器的密码规则如表1所示。 表1 密码设置规则 参数 规则 样例 密码 密码长度范围为8到26位。 密码至少包含以下4种字符中的3种： 大写字母 小写字母 数字 Windows操作系统云服务器特殊字符：包括“$”、“!”、“@”、“%”、“-”、“_”、“=”、“+”、“[”、“]”、“:”、“.”、“/”、“,”和“?” Linux操作系统云服务器特殊字符：包括“!”、“@”、“%”、“-”、“_”、“=”、“+”、“[”、“]”、“:”、“.”、“/”、“^”、“,”、“{”、“}”和“?” 密码不能包含用户名或用户名的逆序。 Windows操作系统的云服务器，不能包含用户名中超过两个连续字符的部分。 Windows操作系统的云服务器，不能以“/”为密码首字符。 YNbUwp!dUc9MClnv 说明： 样例密码随机生成，请勿复制使用样例。

限制云服务器访问外部网站 安全组的出方向规则一般默认全部放通，默认规则如表11所示。如果您需要限制服务器只能访问特定网站，则按照如下要求配置： 首先，您需要遵循白名单规则，在安全组出方向规则中添加指定的端口和IP地址。 表10 不同安全组内实例内网互通 规则方向 优先级 策略 类型 协议端口 源地址 出方向规则 1 允许 IPv4 自定义TCP: 80 IP地址：132.15.XX.XX 出方向规则 1 允许 IPv4 自定义TCP: 443 IP地址：145.117.XX.XX 其次，删除安全组出方向中原有放通全部流量的规则，如表11所示。 表11 安全组默认出方向规则 规则方向 优先级 策略 类型 协议端口 目的地址 描述 出方向规则 100 允许 IPv4 全部 0.0.0.0/0 针对全部IPv4协议，允许安全组内的实例可访问外部IP的所有端口。 出方向规则 100 允许 IPv6 全部 ::/0 针对全部IPv6协议，允许安全组内的实例可访问外部IP的所有端口。

云服务器提供数据库访问服务 安全组默认拒绝所有来自外部的请求，如果您在云服器上部署了数据库服务，允许其他云服务器通过内网访问数据库服务，则您需要在部署数据库云服务器所在的安全组内，添加入方向规则，放通对应的端口，例如MySQL(3306)、Oracle(1521)、MS SQL(1433)、PostgreSQL(5432)、Redis(6379)。 表9 云服务器提供数据库访问服务 规则方向 优先级 策略 类型 协议端口 源地址 描述 入方向规则 1 允许 IPv4 自定义TCP: 3306 安全组：sg-A 允许安全组sg-A内云服务器访问MySQL数据库服务。 入方向规则 1 允许 IPv4 自定义TCP: 1521 安全组：sg-B 允许安全组sg-B内云服务器访问Oracle数据库服务。 入方向规则 1 允许 IPv4 自定义TCP: 1433 IP地址：172.16.3.21/32 允许私网IP地址为172.16.3.21的云服务器访问MS SQL数据库服务。 入方向规则 1 允许 IPv4 自定义TCP: 5432 IP地址：192.168.0.0/24 允许私网IP地址属于192.168.0.0/24网段的云服务器访问PostgreSQL数据库服务。 入方向规则 1 允许 IPv4 自定义TCP: 6379 IP地址组：ipGroup-A 允许私网IP地址属于IP地址组ipGroup-A范围内的云服务器访问PostgreSQL数据库服务。 本示例中源地址提供的配置仅供参考，请您根据实际需求设置源地址。