华为云用户手册

操作步骤 由于proxy-agent中已配置VPCEP的IP地址，在新建VPCEP时需要指定IP，请确保IP未被占用。 登录 VPC终端节点 控制台检查U CS 服务所在区域的VPCEP是否被删除。如确认对接UCS的VPCEP被删除，则可继续执行以下步骤。 登录接入异常集群的Master节点。 查询proxy-agent中配置的IP信息。 kubectl get deploy -n kube-system proxy-agent -oyaml | grep -A3 hostAliases 回显如下： hostAliases:- hostnames: - proxyurl.ucs.myhuaweicloud.com ip: 10.0.0.182 在UCS所在区域新建一个VPCEP，并指定该IP地址，单击“查看已使用IP地址”以确保该IP地址未使用。如IP地址已占用，则需编辑集群中的proxy-agent配置，请参考编辑proxy-agent配置。 图1 购买终端节点（指定节点IP） 单击“立即购买”，重新创建一个VPCEP。 等待1-3分钟，前往UCS控制台重新刷新集群状态。

排查项二：集群与UCS网络连接状态 公网接入： 检查集群是否绑定公网IP或配置公网NAT网关。 检查集群安全组的出方向是否放通。如需对出方向做访问控制，请联系技术支持获取目的地址和端口号。 解决网络问题后，删掉已有的proxy-agent Pod使其重新生成Pod资源，查看新建Pod的日志中是否存在“Start serving”的日志打印。 kubectl -n kube-system logs proxy-agent-*** | grep "Start serving" 日志正常打印后，刷新UCS控制台页面，查看集群是否正常连接。 私网接入： 检查集群安全组的出方向是否放通。如需对出方向做访问控制，请联系技术支持获取目的地址和端口号。 排除集群与UCS和IDC/第三方云之间的网络连接故障。 根据网络连接方式不同，请参考以下文档进行故障排除。 云专线（DC）：请参考故障排除。 虚拟专用网络 （VPN）：请参考故障排除。 排除集群私网接入的VPCEP故障，VPCEP状态需为“已接受”。如VPCEP被误删除，则需重新创建，请参见私网接入的集群误删除VPCEP后如何恢复。 图1 VPCEP状态 解决网络问题后，删掉已有的proxy-agent Pod使其重新生成Pod资源，查看新建Pod的日志中是否存在“Start serving”的日志打印。 kubectl -n kube-system logs proxy-agent-*** | grep "Start serving" 日志正常打印后，刷新UCS控制台页面，查看集群是否正常连接。

排查项四：集群认证信息变化 如错误显示“cluster responded with non-successful status: [401][Unauthorized]”，可能是集群认证信息过期或者发生了变化，从而导致UCS无法访问集群kube-apiserver，请您注销该集群，使用新的KubeConfig文件重新注册集群，并重新部署proxy-agent。 建议您使用永久的KubeConfig文件，防止由于集群认证信息过期导致UCS无法管理集群。 部分厂商提供的第三方集群在欠费后重新续费会导致认证信息变化，请尽量避免集群欠费的情况发生。

操作步骤 于安装节点获取节点清理脚本。 在解压后的“/var/paas/.ucs-package/ucs-onpremise/scripts/”目录下，即可获取清理脚本uninstall_node.sh。 将清理脚本拷贝到待清理的节点。 登录到待清理的节点上，执行以下命令进行清理操作： bash uninstall_node.sh 为了尽可能减少残留进程或者数据，清理脚本支持多次执行。 清理脚本执行完成后，重启节点。 重复执行上述操作，清理其他节点。

排查项一：proxy-agent的运行状态 集群从UCS注销后，原有proxy-agent配置文件中包含的认证信息将会失效，请同时删除集群中已部署的proxy-agent实例。如需再次接入UCS，必须重新从UCS控制台下载proxy-agent配置文件进行部署。 登录目标集群Master节点。 查看集群代理部署状态。 kubectl -n kube-system get pod | grep proxy-agent 如果部署成功，预期输出如下： proxy-agent-*** 1/1 Running 0 9s 说明proxy-agent部署正常，如proxy-agent没有处于正常Running状态，可以使用kubectl -n kube-system describe pod proxy-agent-***查看Pod的告警信息，详细排查思路可参考proxy-agent部署失败怎么办？。 proxy-agent默认部署两个Pod实例，存在一个Pod正常Running即可使用基本功能，但是高可用性无法保证。 打印proxy-agent的Pod日志，查看代理程序是否可以连接到UCS。 kubectl -n kube-system logs proxy-agent-*** | grep "Start serving" 如没有“Start serving”的日志打印但是proxy-agent实例状态正常，则需要继续检查其他排查项。

排查思路 集群处于异常状态的排查思路大致可根据报错信息进行定位，如表1所示。 表1 报错信息说明 报错信息 说明 推荐排查项 “currently no agents available, please make sure the agents are correctly registered” 出现该错误的原因大概率为接入集群中的proxy-agent运行状态异常或网络异常。 排查项一：proxy-agent的运行状态 排查项二：集群与UCS网络连接状态 “please check the health status of kube apiserver: ...” 出现该错误的原因大概率为集群内部kube-apiserver无法访问。 排查项三：集群kube-apiserver状态 “cluster responded with non-successful status code: ...” 出现该错误的原因可能是多样的，请根据实际状态码进行排查。 例如状态码401表示用户没有访问权限，可能的原因是集群认证信息过期。 排查项四：集群认证信息变化 “cluster responded with non-successful message: ...” 出现该错误的原因可能是多样的，请根据实际信息进行排查。 例如“Get "https://172.16.0.143:6443/readyz?timeout=32s\": context deadline exceeded”显示访问apiserver超时，可能是因为集群apiserver发生故障。 - “Current cluster version is not supported in UCS service.” 出现该错误的原因是集群版本不符合要求：接入UCS服务的Kubernetes集群版本必须为1.19及以上。 -

问题背景 集群加入联邦失败，错误提示“状态校验失败，不支持”，错误码“UCS.01100007”，错误信息“Update associated clusters validate failed”，错误原因：“vpcep: Required value: all subnets in vpc xxx have endpoint connected to xxx.vpcep-src-open.xxx but not managed by ucs”。 图1 状态校验失败

集群在何种状态下时，UCS会产生计费？ 集群状态的变化会影响UCS对其vCPU数量的统计，从而影响UCS服务的计费。若集群需要使用UCS服务，请保证其在正常运行状态；若集群不再需要使用，请及时注销，避免持续扣款。 不同集群状态是否造成UCS计费的情况见表1 集群状态与计费。 表1 集群状态与计费 集群状态 是否计费 运行中 是 不可用 是 说明： 当集群接入UCS之后，UCS会获取用户集群vCPU的使用量并记录。如果之后集群状态变为“不可用”，导致UCS无法获取到最新的集群vCPU使用量信息，UCS会根据最后一次记录到的vCPU使用量进行计费。 等待接入 否 注册超时 否 注销中 否 注销失败 否 父主题： 计费相关

排查项四：集群认证信息变化 如错误显示“cluster responded with non-successful status: [401][Unauthorized]”，通过观察集群三个Master节点“/var/paas/sys/log/kubernetes/auth-server.log”日志，可能是 IAM 网络连通故障。请确认IAM 域名 解析能力，及IAM服务连通性正常。 常见问题日志如下： Failed to authenticate token: *******: dial tcp: lookup iam.myhuaweicloud.com on *.*.*.*:53: no such host 此类日志说明，节点缺少对iam.myhuaweicloud.com解析能力，请参考安装前准备，配置对应的域名解析。 Failed to authenticate token: Get *******: dial tcp *.*.*.*:443: i/o timeout 此类日志说明，节点访问IAM服务超时，请确保节点与华为云IAM服务能正常通信。 currently only supports Agency token 此类日志说明请求不是从UCS服务发起，目前本地集群只支持UCS服务IAM Token访问。 IAM assumed user has no authorization/iam assumed user should allowed by TEAdmin 此类日志说明UCS服务访问集群故障，请联系华为技术人员进行排障。 Failed to authenticate token: token expired, please acquire a new token 此类日志说明Token存在过期现象，请使用date命令确定时间是否差距过大，如果节点时间与标准时间差距过大，请同步时间后，查看集群是否恢复。如果长时间未恢复，可能需要重装集群，请联系华为技术人员进行排障。 解决上述问题后，请使用crictl ps | grep auth | awk '{print $1}' | xargs crictl stop命令重启auth-server容器。

排查思路 集群处于异常状态的排查思路大致可根据报错信息进行定位，如表1所示。 表1 报错信息说明 报错信息 说明 推荐排查项 “currently no agents available, please make sure the agents are correctly registered” 出现该错误的原因大概率为接入集群中的proxy-agent运行状态异常或网络异常。 排查项一：proxy-agent的运行状态 排查项二：集群与UCS网络连接状态 “please check the health status of kube apiserver: ...” 出现该错误的原因大概率为集群内部kube-apiserver无法访问。 排查项三：集群kube-apiserver状态 “cluster responded with non-successful status code: ...” 出现该错误的原因可能是多样的，请根据实际状态码进行排查。 例如状态码401表示用户没有访问权限，可能的原因是集群认证信息过期。 排查项四：集群认证信息变化 “cluster responded with non-successful message: ...” 出现该错误的原因可能是多样的，请根据实际信息进行排查。 例如“Get "https://172.16.0.143:6443/readyz?timeout=32s\": context deadline exceeded”显示访问apiserver超时，可能是因为集群apiserver发生故障。 - “Current cluster version is not supported in UCS service.” 出现该错误的原因是集群版本不符合要求：接入UCS服务的Kubernetes集群版本必须为1.19及以上。 -

排查项一：proxy-agent的运行状态 集群从UCS注销后，原有proxy-agent配置文件中包含的认证信息将会失效，请同时删除集群中已部署的proxy-agent实例。如需再次接入UCS，必须重新从UCS控制台下载proxy-agent配置文件进行部署。 登录目标集群Master节点。 查看集群代理部署状态。 kubectl -n kube-system get pod | grep proxy-agent 如果部署成功，预期输出如下： proxy-agent-*** 1/1 Running 0 9s 说明proxy-agent部署正常，如proxy-agent没有处于正常Running状态，可以使用kubectl -n kube-system describe pod proxy-agent-***查看Pod的告警信息，详细排查思路可参考proxy-agent部署失败怎么办？。 proxy-agent默认部署两个Pod实例，存在一个Pod正常Running即可使用基本功能，但是高可用性无法保证。 打印proxy-agent的Pod日志，查看代理程序是否可以连接到UCS。 kubectl -n kube-system logs proxy-agent-*** | grep "Start serving" 如没有“Start serving”的日志打印但是proxy-agent实例状态正常，则需要继续检查其他排查项。

排查项二：集群与UCS网络连接状态 公网接入： 检查集群是否绑定公网IP或配置公网NAT网关。 检查集群安全组的出方向是否放通。如需对出方向做访问控制，请联系技术支持获取目的地址和端口号。 解决网络问题后，删掉已有的proxy-agent Pod使其重新生成Pod资源，查看新建Pod的日志中是否存在“Start serving”的日志打印。 kubectl -n kube-system logs proxy-agent-*** | grep "Start serving" 日志正常打印后，刷新UCS控制台页面，查看集群是否正常连接。 私网接入： 检查集群安全组的出方向是否放通。如需对出方向做访问控制，请联系技术支持获取目的地址和端口号。 排除集群与UCS和IDC之间的网络连接故障。 根据网络连接方式不同，请参考以下文档进行故障排除。 云专线（DC）：请参考故障排除。 虚拟专用网络（VPN）：请参考故障排除。 排除集群私网接入的VPCEP故障，VPCEP状态需为“已接受”。如VPCEP被误删除，则需重新创建，请参见私网接入的集群误删除VPCEP后如何恢复？。 图1 VPCEP状态 解决网络问题后，删掉已有的proxy-agent Pod使其重新生成Pod资源，查看新建Pod的日志中是否存在“Start serving”的日志打印。 kubectl -n kube-system logs proxy-agent-*** | grep "Start serving" 日志正常打印后，刷新UCS控制台页面，查看集群是否正常连接。

排查项三：集群kube-apiserver状态 集群接入UCS时，可能出现如图2所示的异常信息，错误显示“please check the health status of kube apiserver: ...”。 图2 kube-apiserver状态异常 如出现以上信息，说明proxy-agent无法和集群apiserver进行正常通信，由于不同用户待接入集群的网络环境配置不同，这里无法提供统一的解决方案，需要您自行解决集群网络问题后进行重试。 登录UCS控制台，在左侧导航栏选择“容器舰队”页面。 登录目标集群Master节点，检查proxy-agent的Pod是否可以访问待接入集群的apiserver。 参考命令： kubectl exec -ti proxy-agent-*** -n kube-system /bin/bash# 访问集群的kube-apiservercurl -kv https://kubernetes.default.svc.cluster.local/readyz 如无法正常访问，请解决集群网络问题后，在UCS控制台重新注册集群，并重新部署proxy-agent。

计费项 使用UCS服务时，会产生UCS服务管理费用，具体内容如表1 UCS计费项所示。 表1 UCS计费项 计费项 说明 适用的计费模式 计费公式 UCS集群管理服务 UCS集群管理服务费用由集群类型（包括华为云集群、本地集群、附着集群、多云集群和伙伴云集群）、集群vCPU容量和购买时长决定。 UCS服务管理费用不包括任何资源（例如计算节点、网络服务等）相关的费用。 包年/包月、按需计费 集群规模 *规格单价 *购买时长 具体 定价 请参见UCS价格详情。

操作步骤 登录集群Master节点。 查看proxy-agent运行状态。 kubectl -n kube-system get pod | grep proxy-agent 回显如下，pod状态处于ImagePullBackOff或Pending： proxy-agent-59ddf7597b-rq4j6 0/1 ImagePullBackOff 0 2d16hproxy-agent-59ddf7597b-sjf55 0/1 Pending 0 2d16h 查看Pod的详细信息。 kubectl describe pod proxy-agent-*** -nkube-system 可能出现如下错误： K8s事件显示集群无法拉取proxy-agent镜像，请您确保集群具备访问公网的能力，可正常拉取SWR镜像。 K8s事件显示节点的CPU或内存资源不足，请您扩容节点资源。 K8s事件显示没有符合调度规则的节点。proxy-agent为实现高可用性，默认将两个实例调度至不同的节点，请您确保集群中至少存在两个节点具有足够的资源。 K8s事件显示gatekeeper相关字样，可能是由于创建的策略实例进行了拦截。为解决此问题，请在集群上执行以下命令删除相应策略实例。 kubectl delete constraint --all 以上问题解决后，重新查看proxy-agent运行状态，所有Pod处于“Running”状态。

计费模式 UCS提供包年/包月和按需计费两种计费模式，以满足不同场景下的用户需求。 包年/包月：一种预付费模式，即先付费再使用，按照订单的购买周期进行结算。购买周期越长，享受的折扣越大。一般适用于接入集群规模长期稳定的成熟业务。 按需计费：一种后付费模式，即先使用再付费，按照UCS实际使用时长计费，按小时结算。按需计费模式允许您根据实际业务需求灵活地调整服务使用，无需提前购买付费，灵活性高。一般适用于接入集群规模较小的业务场景。

步骤三：在UCS添加调度策略 DNS解析添加完成后，回到UCS控制台“创建流量策略”页面，选择新添加的域名。如域名未同步，可单击右侧按钮进行刷新。 图2 创建流量策略 参考创建流量策略，为新添加的域名添加调度策略。 图3 调度策略 检验新增调度策略是否生效。 以Linux系统为例，您可以在已经连接Internet的终端的命令窗口使用如下命令测试调度策略是否生效，命令格式如下： dig 目标域名 如果Linux终端的操作系统没有自带dig命令，需要手动安装后才能使用。例如CentOS系统，可执行yum install bind-utils安装。 如下图所示，回显中“ANSWER SECTION”的IP地址为目标集群负载均衡IP，则表示调度策略创建成功。

ECS重置密码插件升级（可选） 华为云ECS服务提供了一键式重置密码功能，弹性云服务器的密码丢失或过期时，可使用该功能进行一键式重置密码。重置密码插件为ECS内部运行的客户端进程，不对外提供任何网络服务，重置密码插件CloudResetPwdUpdateAgent使用了Apache Log4j2组件，经华为 云安全 实验室分析验证，ECS重置密码插件无可利用条件，无安全风险。 如果用户需要升级该插件中的Log4j2版本，可通过下面的步骤升级插件： 将“ MRS _Log4j_Patch.tar.gz”上传至主 OMS 节点的“/home/omm”目录下。具体可参考如何上传本地文件到集群内节点？。 使用root用户登录主OMS节点，修改补丁工具相应权限，切到omm用户下，并解压补丁工具至当前目录。 chown omm:wheel -R /home/omm/MRS_Log4j_Patch.tar.gz su - omm cd /home/omm tar -zxf MRS_Log4j_Patch.tar.gz 在“/home/omm/MRS_Log4j_Patch/bin/ips.ini”文件中配置需要打补丁的节点IP（当前集群所有节点IP）。 每行配置一个IP，中间不能有空行。 根据节点登录方式执行以下步骤： 密码登录 执行以下命令： nohup sh install.sh upgrade_resetpwdagent passwd:登录密码 & 例如密码为xyz123，则命令为： nohup sh install.sh upgrade_resetpwdagent passwd:xyz123 & 通过tail -f nohup.out查看执行情况，打印“upgrade_resetpwdagent patch success.”表示执行完成。 密钥登录 将root用户对应的私钥文件上传到“/home/omm/MRS_Log4j_Patch/bin”目录下，保证文件的属组为root:root，执行命令： chown root:root /home/omm/MRS_Log4j_Patch/bin/密钥文件 chmod 644 /home/omm/MRS_Log4j_Patch/bin/密钥文件 执行以下命令 su - omm cd /home/omm/MRS_Log4j_Patch/bin nohup sh install.sh upgrade_resetpwdagent privatekey:私钥文件路径 & 例如私钥文件路径为‘/home/omm/MRS_Log4j_Patch/bin/abc.pem’，则执行命令为： nohup sh install.sh upgrade_resetpwdagent privatekey:/home/omm/MRS_Log4j_Patch/bin/abc.pem & 通过tail -f nohup.out查看执行情况，打印“upgrade_resetpwdagent patch success.”表示执行完成。

受影响组件列表 MRS集群版本 受影响组件 MRS 3.1.1 Hive、Oozie、Flink、Ranger、Tez MRS 3.1.0 Hive、Flink、Spark、Tez、Impala、Ranger、Presto、Oozie MRS 3.0.5 Hive、Flink、Spark、Tez、Impala、Ranger、Presto、Oozie、Storm、Loader MRS 3.0.2 Hive、Flink、Spark、Tez、Ranger、Oozie、Storm、Loader MRS 2.1.1 Hive、Tez、Storm、Loader、Impala、Presto MRS 2.1.0 Loader、Hive、Storm、Presto、Impala、Tez、Spark、HBase MRS 1.9.3 Loader、Hive、Tez、Spark、Flink MRS 1.9.2 Loader、Hive、Tez、Spark、Flink、Impala MRS 1.9.0 Loader、Hive、Spark、Flink MRS 1.8.10 Loader、Storm MRS 1.7.1 Loader、Storm

操作步骤 使用omm用户登录到主OMS节点，备份$NODE_AGENT_HOME/bin/nodeagent_ctl.sh文件。 cp $NODE_AGENT_HOME/bin/nodeagent_ctl.sh /tmp 执行命令vi $NODE_AGENT_HOME/bin/nodeagent_ctl.sh，找到“JVM_ARGS=”所在行，在该行的下一行添加一行新内容： JVM_ARGS="$JVM_ARGS -Dfastjson.parser.safeMode=true" 在集群所有节点执行1和2。 可以手动通过omm用户将修改好的“$NODE_AGENT_HOME/bin/nodeagent_ctl.sh”文件覆盖到所有节点。 使用omm用户在主OMS节点执行如下命令重启集群所有节点NodeAgent。 $CONTROLLER_HOME/inst/restartAllNoes.sh 登录集群后台节点查看进程： ps -ef |grep NodeAgent 如果包含参数“-Dfastjson.parser.safeMode=true”，说明漏洞问题已经规避，如下图所示：

前提条件 从OBS路径中下载的补丁工具“MRS_Log4j_Patch.tar.gz”，下载路径：https://mrs-container1-patch-cn-south-1.obs.cn-south-1.myhuaweicloud.com/MRS_Common_Script/MRS_Log4j_Patch.tar.gz。 确认集群主OMS节点： OMS节点一般为Master1和Master2节点，主OMS节点判断方法，执行以下命令，返回结果为active的节点为主OMS节点，返回结果为standby的节点为备OMS节点： 3.x之前版本： sh /opt/Bigdata/*/workspace0/ha/module/hacom/script/get_harole.sh 3.x及之后版本： sh /opt/Bigdata/om-server*/OMS/workspace0/ha/module/hacom/script/get_harole.sh

现有集群节点安装补丁 将“MRS_Log4j_Patch.tar.gz”上传至主OMS节点的“/home/omm”目录下。具体可参考如何上传本地文件到集群内节点？。 使用root用户登录主OMS节点，修改补丁工具相应权限，切到omm用户下，并解压补丁工具至当前目录。 chown omm:wheel -R /home/omm/MRS_Log4j_Patch.tar.gz su - omm cd /home/omm tar -zxf MRS_Log4j_Patch.tar.gz 在“/home/omm/MRS_Log4j_Patch/bin/ips.ini”文件中配置需要打补丁的节点IP（当前集群所有节点IP）。 每行配置一个IP，中间不能有空行。 执行脚本安装补丁。 cd /home/omm/MRS_Log4j_Patch/bin nohup sh install.sh upgrade & 通过tail -f nohup.out可查看执行情况（打印 “upgrade patch success.” 表示执行完成）。 登录Manager页面，重启受影响的组件，受影响组件请参考受影响组件列表。建议业务低峰期时执行重启操作。 （可选）如果要新下载的客户端安装上补丁，需要先为部件包安装补丁，可执行如下命令： su - omm cd /home/omm/MRS_Log4j_Patch/bin nohup sh install.sh upgrade_package & 通过tail -f nohup.out查看执行情况，打印“upgrade_package patch success.”表示执行完成。 执行完之后，重新下载的客户端就已经是安装补丁的客户端。 该步骤耗时比较长，且执行完之后不需要重启组件。 补丁安装完成后，不能删除补丁目录相关文件，否则会响补丁的卸载功能。

补丁卸载方法 使用root用户登录主OMS节点，执行如下命令，卸载脚本： su - omm cd /home/omm/MRS_Log4j_Patch/bin nohup sh install.sh rollback & 通过tail -f nohup.out可查看执行情况，打印“rollback patch success.”表示执行完成。 登录Manager页面，重启受影响的组件，受影响组件请参考受影响组件列表。建议业务低峰期时执行重启操作。 如果安装补丁时执行了现有集群节点安装补丁的6，且希望回退部件包中的修改，可在2执行完之后执行如下操作： 使用root用户登录主OMS节点，执行如下命令： su - omm cd /home/omm/MRS_Log4j_Patch/bin nohup sh install.sh rollback_package & 通过tail -f nohup.out查看执行情况（打印“rollback_package patch success.”表示执行完成）。

扩容节点安装补丁 扩容操作时关闭“启动组件”开关。 将“MRS_Log4j_Patch.tar.gz”上传至主OMS节点的“/home/omm”目录下。具体可参考如何上传本地文件到集群内节点？。 使用root用户登录主OMS节点，修改补丁工具相应权限，切到omm用户下，并解压补丁工具至当前目录。 chown omm:wheel -R /home/omm/MRS_Log4j_Patch.tar.gz su - omm cd /home/omm tar -zxf MRS_Log4j_Patch.tar.gz 在“/home/omm/MRS_Log4j_Patch/bin/ips.ini”文件中配置需要打补丁的节点IP（当前集群扩容节点IP）。 每行配置一个IP，中间不能有空行。 执行脚本安装补丁。 cd /home/omm/MRS_Log4j_Patch/bin nohup sh install.sh upgrade & 通过tail -f nohup.out可查看执行情况，打印“upgrade patch success.”表示执行完成。 登录Manager页面，启动新扩容节点上的实例。

操作步骤 使用omm用户登录到主OMS节点，备份“$OM_TOMCAT_HOME/bin/catalina.sh”文件。 cp $OM_TOMCAT_HOME/bin/catalina.sh /tmp 执行命令vi $OM_TOMCAT_HOME/bin/catalina.sh，找到“Execute The Requested Command”所在行，在该行上面添加一行新内容： JAVA_OPTS="$JAVA_OPTS -Dfastjson.parser.safeMode=true" 使用omm用户在主OMS节点执行如下命令重启Manager Web 服务。 $OMS_RUN_PATH/workspace/ha/module/harm/plugin/script/tomcat stop $OMS_RUN_PATH/workspace/ha/module/harm/plugin/script/tomcat start 在主OMS节点查看进程： ps -ef |grep tomcat | grep om-server 如果包含参数“-Dfastjson.parser.safeMode=true”，说明漏洞问题已经规避，如下图所示： 使用omm用户在备OMS节点同样执行1与2。

操作步骤 使用omm用户登录到主OMS节点，备份$CONTROLLER_HOME/sbin/controller.sh文件。 cp $CONTROLLER_HOME/sbin/controller.sh /tmp 执行命令vi $CONTROLLER_HOME/sbin/controller.sh，找到JVM_ARGS=所在行，在该行的下一行添加一行新内容： JVM_ARGS="$JVM_ARGS -Dfastjson.parser.safeMode=true" 使用omm用户在主OMS节点执行如下命令重启Controller 服务。 sh /opt/Bigdata/om-server/om/sbin/restart-controller.sh 在主OMS节点查看进程。 ps -ef |grep ControllerService 如果包含参数“ -Dfastjson.parser.safeMode=true”，说明漏洞问题已经规避，如下图所示： 使用omm用户在备OMS节点重复执行1与2。

漏洞规避方案 请根据MRS集群版本，从如下链接中选择相应的漏洞规避方案。 MRS 3.1.1：MRS 3.1.1版本Log4j2远程执行漏洞（CVE-2021-44228）缓解措施 MRS 3.1.0：MRS 3.1.0版本Log4j2远程执行漏洞（CVE-2021-44228）缓解措施 MRS 3.0.5：MRS 3.0.5版本Log4j2远程执行漏洞（CVE-2021-44228）缓解措施 MRS 3.0.2：MRS 3.0.2版本Log4j2远程执行漏洞（CVE-2021-44228）缓解措施 MRS 2.1.1：MRS 2.1.1版本Log4j2远程执行漏洞（CVE-2021-44228）缓解措施 MRS 2.1.0：MRS 2.1.0版本Log4j2远程执行漏洞（CVE-2021-44228）缓解措施 MRS 1.9.3：MRS 1.9.3版本Log4j2远程执行漏洞（CVE-2021-44228）缓解措施 MRS 1.9.2：MRS 1.9.2版本Log4j2远程执行漏洞（CVE-2021-44228）缓解措施 MRS 1.9.0：MRS 1.9.0版本Log4j2远程执行漏洞（CVE-2021-44228）缓解措施 MRS 1.8.10：MRS 1.8.10版本Log4j2远程执行漏洞（CVE-2021-44228）缓解措施 MRS 1.7.1：MRS 1.7.1版本Log4j2远程执行漏洞（CVE-2021-44228）缓解措施

涉及模块 管理面：不涉及该漏洞 租户面：Manager（Web+Controller+nodeagent）、Kafka、Flink MRS 3.1.0.x执行以下章节： 修复Manager Web 修复Manager Controller 修复Manager nodeagent MRS 3.1.2.x执行章节： 修复Manager Web 修复Manager Controller 修复Manager nodeagent 修复Kafka 修复Flink

架构模板查找 设计中心的集成架构可申请发布到加速场，审核通过后即可成为架构模板，架构发布可参考发布架构模板。 支持输入架构模板名称、适用行业、适用场景等关键字对架构模板进行查找； 支持按照模板类型、部署环境、适用行业、适用场景对架构模板进行过滤筛选，您也可以在适用行业和适用场景右侧下拉选择更多行业和场景； 支持按照默认综合排序、最新发布、最多引用、我的关注对架构模板进行排序。 图1 架构模板查找 图2 架构模板详情 图3 架构模板详情

空间成员管理 如果您是空间创建人，或者您已经在空间内且拥有该空间的管理员或项目经理角色，则您可以对该空间内的成员进行增、删、改、查等操作。仅标准空间和交付空间（运维空间需要在用户管理界面）支持在空间管理处进行成员管理操作。 查看空间成员 空间内所有成员均可查看。 进入解决方案工作台控制台-工作空间页面，在工作空间名称右侧点击【成员管理】。 图4 成员管理入口 进入该空间详情弹窗后可查看空间信息及空间成员。 图5 查看空间成员 添加本企业用户 支持空间内拥有“管理员”或“项目经理”角色的用户添加本企业用户。 在工作空间名称右侧点击“空间编辑”或“成员管理”，点击【添加】按钮，选择：本企业，在IAM用户名下拉框勾选对应用户并给该用户设置用户角色即可完成。 图6 添加空间成员-本企业用户 添加本企业用户时：IAM用户名下拉框中仅支持加载本企业下已加入解决方案工作台的IAM用户，如果下拉框中没有找到您需要添加的用户，请先联系本企业管理员在“运营中心-用户管理”中添加该用户，参考用户添加；或者让该IAM用户登录解决方案工作台，加入解决方案工作台后即可被添加至空间中，参考访问解决方案工作台。 一个用户支持拥有多个角色，如果仅需要给用户授予“只读”权限，则在添加该用户时给该用户设置为“访客”即可。关于各个角色的权限说明可参考解决方案工作台空间权限。 邀请其他企业用户 支持空间内拥有“管理员”或“项目经理”角色的用户邀请其他企业用户。 在工作空间名称右侧点击“空间编辑”或“成员管理”，点击【添加】按钮，选择：其他企业（邀请），输入待邀请的企业账号名、IAM用户名，再点击确定；被邀请的用户会在工作待办处收到该邀请的待办，点击同意邀请即为邀请成功。 图7 添加空间成员-其他企业（邀请） 图8 邀请其他企业-该用户同意邀请 邀请其他企业用户时，请确保账号名、用户名填写无误，可让该用户在个人基本信息处查看自己的账号名和用户名，如图9所示。 一个用户支持拥有多个角色，如果仅需要给用户授予“只读”权限，则在添加该用户时给该用户设置为“访客”即可。关于各个角色的权限说明可参考解决方案工作台空间权限。 图9 查看账号名和用户名 移除空间成员 支持空间内拥有“管理员”或“项目经理”角色的用户移除空间成员。 在空间编辑页面，勾选待移除的空间成员后，点击【移除】按钮，在弹窗中的输入框输入“DELETE”后点击确定即可移除该用户。 图10 移除空间成员 您可以在移除弹窗中查看该用户是否可以移除以及不可移除原因，如图10所示，该成员有关联待办未清零，不可移除，需要该用户将该空间内的待办处理完成、或者转移待办给其他人后方可移除。