华为云用户手册

排查项三：集群认证信息变化 如错误显示“cluster responded with non-successful status: [401][Unauthorized]”，通过观察集群三个Master节点“/var/paas/sys/log/kubernetes/auth-server.log”日志，可能是 IAM 网络连通故障。请确认IAM域名解析能力，及IAM服务连通性正常。 常见问题日志如下： Failed to authenticate token: *******: dial tcp: lookup iam.myhuaweicloud.com on *.*.*.*:53: no such host 此类日志说明，节点缺少对iam.myhuaweicloud.com解析能力，请根据注册本地集群（私网接入），配置对应的域名解析。 Failed to authenticate token: Get *******: dial tcp *.*.*.*:443: i/o timeout 此类日志说明，节点访问IAM服务超时，请确保节点与华为云IAM服务能正常通信。 currently only supports Agency token 此类日志说明请求不是从U CS 服务发起，目前本地集群只支持UCS服务IAM Token访问。 IAM assumed user has no authorization/iam assumed user should allowed by TEAdmin 此类日志说明UCS服务访问集群故障，请联系华为技术人员进行排障。 Failed to authenticate token: token expired, please acquire a new token 此类日志说明Token存在过期现象，请使用date命令确定时间是否差距过大，如果节点时间与标准时间差距过大，请同步时间后，查看集群是否恢复。如果长时间未恢复，可能需要重装集群，请联系华为技术人员进行排障。 解决上述问题后，请使用crictl ps | grep auth | awk '{print $1}' | xargs crictl stop命令重启auth-server容器。

什么是UCS配额？ 为防止资源滥用，平台限定了各服务资源的配额，对用户的资源数量和容量做了限制。UCS具有集群、舰队、权限、集群联邦，以及容器智能分析实例配额限制。 集群配额：UCS支持接入的集群数量上限，华为云集群和附着集群的数量均占用该配额值。 舰队配额：用户拥有的舰队数量上限。 权限配额：用户可以在“权限管理”页面创建的权限数量上限。 集群联邦配额：用户可以开通的集群联邦数量上限。 容器智能分析实例配额：用户可以创建的容器智能分析实例数量上限。 用户在使用UCS时也会使用其他云服务，例如弹性云服务器、云硬盘、虚拟私有云、弹性负载均衡、 容器镜像服务 、云解析服务等。其他云服务配额与UCS配额相互独立，由各服务自行管理，详情请参见关于配额。

操作步骤 检查Prometheus的PVC信息，获取PVC绑定的PV所在的节点和路径。 kubectl describe pvc pvc-prometheus-server-0 -nmonitoring|grep volume.kubernetes.io/selected-node kubectl describe pvc pvc-prometheus-server-0 -nmonitoring|grep volume.kubernetes.io/targetPath 登录到存储的节点，执行df -TH，查询节点磁盘配置，并根据节点磁盘的配置进行扩容。扩容完成后，还需要完成磁盘的分区，分区操作可参考《云硬盘用户指南》扩展磁盘分区和文件系统（linux）。 扩容及分区完成后，重启普罗插件。 kubectl delete pod prometheus-server-0 -nmonitoring 重启prometheus-server-0将导致重启期间容器智能分析功能不可用，请合理选择重启时间。

问题描述 kube-prometheus-stack插件的kube-state-metrics组件负责将Prometheus的metrics数据格式转换成K8s API接口能识别的格式。kube-state-metrics组件在默认配置下，不采集K8s资源的所有labels和annotation。如需采集则需要在启动参数中修改采集配置，并同时检查名称为kube-state-metrics的ServiceMonitor中采集白名单是否添加相应指标。

操作步骤 于安装节点获取节点清理脚本。 在解压后的“/var/paas/.ucs-package/ucs-onpremise/scripts/”目录下，即可获取清理脚本uninstall_node.sh。 将清理脚本拷贝到待清理的节点。 登录到待清理的节点上，执行以下命令进行清理操作： bash uninstall_node.sh 为了尽可能减少残留进程或者数据，清理脚本支持多次执行。 清理脚本执行完成后，重启节点。 重复执行上述操作，清理其他节点。

操作步骤 修改“/etc/default/grub”文件的GRUB_CM DLI NE_LINUX配置项，添加systemd.unified_cgroup_hierarchy=no，关闭cgroup v2。 GRUB_CMDLINE_LINUX="net.ifnames=0 biosdevname=0 systemd.unified_cgroup_hierarchy=no" 使用sudo grub-mkconfig -o /boot/grub/grub.cfg命令重新生成引导。 执行reboot重启机器。

操作步骤 执行以下命令打开kube-state-metrics工作负载对应的YAML文件。 kubectl edit deployment kube-state-metrics -nmonitoring 修改kube-state-metrics的启动参数。 例如需要采集Pod的所有labels时，则将kube-state-metrics的启动参数修改为： --metric-labels-allowlist=pods=[*],nodes=[node,failure-domain.beta.kubernetes.io/zone,topology.kubernetes.io/zone] kube-state-metrics将开始采集Pod和Node的labels指标，并通过kubectl edit servicemonitor kube-state-metrics -nmonitoring查询kube_pod_labels是否在普罗的采集任务中。 如需采集annotation，则在启动参数中以相同方法添加参数--metric-annotations-allowlist。 参考文档：https://github.com/kubernetes/kube-state-metrics/blob/v2.2.3/docs/cli-arguments.md

问题描述 etcd kubernetes容器无法拉起，执行journalctl -u containerd查看containerd日志，看到以下日志： applying cgroup configuration for process caused \\\"mountpoint for cgroup not found\\\"\"\n 使用stat -fc %T /sys/fs/cgroup/查看cgroup版本为cgroup2fs，该问题根因为当前kubernetes版本cgroup v2暂未GA，需要进行cgroup降级。

解决方案 大多数IAM用户无法获取集群的问题，都和权限未设置或者设置不正确有关，IAM用户必须同时拥有UCS系统策略权限和集群资源对象操作权限，才可以获取集群信息。您需要联系管理员按照图1所示流程为自己授权。 图1 授权示意图 管理员登录IAM控制台，为IAM用户所在用户组授予UCS系统策略权限。 根据操作范围选择授予何种系统策略。例如：查询集群、舰队的列表或详情，查询集群资源对象（包含节点、工作负载、任务、服务等），这些操作只需要授予UCS ReadOnlyAccess只读权限即可，如图2所示。 图2 用户组只读权限 集群、舰队权限列表中展示了不同权限范围所需的最小权限，管理员依据该表格来授权就可以。 管理员登录UCS控制台，为IAM用户授予集群资源对象操作权限。 操作方法如下： UCS控制台的“权限管理”仅针对本地或附着集群生效，对于华为云集群的资源操作权限，请授予CCE Administrator权限。 在“权限管理”页面创建权限（选择“只读权限”类型，表示对所有集群资源对象的只读权限）。 将创建的权限关联至舰队，或者未加入舰队的集群。 详细的操作步骤请参见集群中Kubernetes资源权限。

集群、舰队权限列表 功能 权限类型 权限范围 最小权限 容器舰队 管理员权限 创建、删除舰队 注册华为云集群（CCE集群、 CCE Turbo 集群）、本地集群或附着集群 注销集群 将集群加入、移出舰队 为集群或舰队关联权限 开通集群联邦、联邦管理相关操作（如创建联邦工作负载、创建域名访问等） UCS FullAccess 只读权限 查询集群、舰队的列表或详情 UCS ReadOnlyAccess 华为云集群 管理员权限 对华为云集群及所有集群资源对象（包含节点、工作负载、任务、服务等）的读写权限。 UCS FullAccess + CCE Administrator 操作权限 对华为云集群及大多数集群资源对象的读写权限，对命名空间、资源配额等Kubernetes资源对象的只读权限。 UCS CommonOperations + CCE Administrator 只读权限 对华为云集群及所有集群资源对象（包含节点、工作负载、任务、服务等）的只读权限。 UCS ReadOnlyAccess + CCE Administrator 本地/附着集群 管理员权限 对本地/附着集群及所有集群资源对象（包含节点、工作负载、任务、服务等）的读写权限。 UCS FullAccess 操作权限 对本地/附着集群及大多数集群资源对象的读写权限，对命名空间、资源配额等Kubernetes资源对象的只读权限。 UCS CommonOperations + UCS RBAC权限（需要包含namespaces资源对象的list权限） 只读权限 对本地/附着集群及所有集群资源对象（包含节点、工作负载、任务、服务等）的只读权限。 UCS ReadOnlyAccess + UCS RBAC权限（需要包含namespaces资源对象的list权限）

排查项一：proxy-agent的运行状态 集群从UCS注销后，原有proxy-agent配置文件中包含的认证信息将会失效，请同时删除集群中已部署的proxy-agent实例。如需再次接入UCS，必须重新从UCS控制台下载proxy-agent配置文件进行部署。 登录目标集群Master节点。 查看集群代理部署状态。 kubectl -n kube-system get pod | grep proxy-agent 如果部署成功，预期输出如下： proxy-agent-*** 1/1 Running 0 9s 说明proxy-agent部署正常，如proxy-agent没有处于正常Running状态，可以使用kubectl -n kube-system describe pod proxy-agent-***查看Pod的告警信息，详细排查思路可参考proxy-agent部署失败如何解决？。 proxy-agent默认部署两个Pod实例，存在一个Pod正常Running即可使用基本功能，但是高可用性无法保证。 打印proxy-agent的Pod日志，查看代理程序是否可以连接到UCS。 kubectl -n kube-system logs proxy-agent-*** | grep "Start serving" 如没有“Start serving”的日志打印但是proxy-agent实例状态正常，则需要继续检查其他排查项。

排查思路 集群处于异常状态的排查思路大致可根据报错信息进行定位，如表1所示。 表1 报错信息说明 报错信息 说明 推荐排查项 “currently no agents available, please make sure the agents are correctly registered” 出现该错误的原因大概率为接入集群中的proxy-agent运行状态异常或网络异常。 排查项一：proxy-agent的运行状态 排查项二：集群与UCS网络连接状态 “please check the health status of kube apiserver: ...” 出现该错误的原因大概率为集群内部kube-apiserver无法访问。 排查项三：集群kube-apiserver状态 “cluster responded with non-successful status code: ...” 出现该错误的原因可能是多样的，请根据实际状态码进行排查。 例如状态码401表示用户没有访问权限，可能的原因是集群认证信息过期。 排查项四：集群认证信息变化 “cluster responded with non-successful message: ...” 出现该错误的原因可能是多样的，请根据实际信息进行排查。 例如“Get "https://172.16.0.143:6443/readyz?timeout=32s\": context deadline exceeded”显示访问apiserver超时，可能是因为集群apiserver发生故障。 - “Current cluster version is not supported in UCS service.” 出现该错误的原因是集群版本不符合要求：接入UCS服务的Kubernetes集群版本必须为1.19及以上。 -

排查项三：集群kube-apiserver状态 集群接入UCS时，可能出现如图2所示的异常信息，错误显示“please check the health status of kube apiserver: ...”。 图2 kube-apiserver状态异常 如出现以上信息，说明proxy-agent无法和集群apiserver进行正常通信，由于不同用户待接入集群的网络环境配置不同，这里无法提供统一的解决方案，需要您自行解决集群网络问题后进行重试。 登录UCS控制台，在左侧导航栏选择“容器舰队”页面。 登录目标集群Master节点，查看apiserver地址。 kubectl get po `kubectl get po -nkube-system | grep kube-apiserver | awk {'print $1'}` -nkube-system -oyaml | grep advertise-address.endpoint 查看集群的KubeConfig文件中“clusters.cluster.server”字段是否与2中查询的集群apiserver地址一致。 如不一致，可能是集群提供商做了apiserver的地址转换，请替换KubeConfig文件中的集群apiserver地址后，在UCS控制台重新注册集群，并重新部署proxy-agent。 若KubeConfig文件中“clusters.cluster.server”字段为“https://kubernetes.default.svc.cluster.local:443”可无需替换，该域名为kubernetes服务（即apiserver的ClusterIP）的本地域名。 检查proxy-agent的Pod是否可以访问待接入集群的apiserver。 参考命令： kubectl exec -ti proxy-agent-*** -n kube-system /bin/bash# 访问集群的kube-apiservercurl -kv https://*.*.*.*:*/readyz 如无法正常访问，请解决集群网络问题后，在UCS控制台重新注册集群，并重新部署proxy-agent。

排查项四：集群认证信息变化 如错误显示“cluster responded with non-successful status: [401][Unauthorized]”，可能是集群认证信息过期或者发生了变化，从而导致UCS无法访问集群kube-apiserver，请您注销该集群，使用新的KubeConfig文件重新注册集群，并重新部署proxy-agent。 建议您使用永久的KubeConfig文件，防止由于集群认证信息过期导致UCS无法管理集群。 部分厂商提供的第三方集群在欠费后重新续费会导致认证信息变化，请尽量避免集群欠费的情况发生。

排查项二：集群与UCS网络连接状态 公网接入： 检查集群是否绑定公网IP或配置公网NAT网关。 检查集群安全组的出方向是否放通。如需对出方向做访问控制，请联系技术支持获取目的地址和端口号。 解决网络问题后，删掉已有的proxy-agent Pod使其重新生成Pod资源，查看新建Pod的日志中是否存在“Start serving”的日志打印。 kubectl -n kube-system logs proxy-agent-*** | grep "Start serving" 日志正常打印后，刷新UCS控制台页面，查看集群是否正常连接。 私网接入： 检查集群安全组的出方向是否放通。如需对出方向做访问控制，请联系技术支持获取目的地址和端口号。 排除集群与UCS和IDC/第三方云之间的网络连接故障。 根据网络连接方式不同，请参考以下文档进行故障排除。 云专线（DC）：请参考故障排除。 虚拟专用网络 （VPN）：请参考故障排除。 排除集群私网接入的VPCEP故障，VPCEP状态需为“已接受”。如VPCEP被误删除，则需重新创建，请参见私网接入的集群误删除VPCEP后如何恢复？。 图1 VPCEP状态 解决网络问题后，删掉已有的proxy-agent Pod使其重新生成Pod资源，查看新建Pod的日志中是否存在“Start serving”的日志打印。 kubectl -n kube-system logs proxy-agent-*** | grep "Start serving" 日志正常打印后，刷新UCS控制台页面，查看集群是否正常连接。

多云集群资源清理指导 在多云集群注销过程中，若因某些原因导致注销失败，您可以尝试重新进行注销操作。但在此之前，请确保已经在AWS控制台手动删除了集群关联的资源。本章节将为您提供这些资源的名称和数量，您可以分别访问AWS的EC2面板和VPC面板，查看并删除相应资源。 表1中，${clusterName}为您的集群名称，${random5}为长度是5的随机字符串。 表1 资源的名称和数量 控制台 资源类型 数量 名称 EC2面板 EC2 控制节点：3 工作节点：n 控制节点：${clusterName}-cp-${random5} 工作节点：${clusterName}-md-${i}-${random5}，其中${i}默认为0 安全组 5 ${clusterName}-node ${clusterName}-lb ${clusterName}-apiserver-lb ${clusterName}-controlplane default 以上安全组对应的VPC均为：${clusterName}-vpc 弹性IP 3 ${clusterName}-eip-apiserver 存储卷 节点总数 * 2 根据卷挂载的EC2实例名，判断该卷属于哪个节点 ELB 1 ${clusterName}-apiserver，对应VPC为：${clusterName}-vpc 网络接口 4 Name为空，对应VPC均为：${clusterName}-vpc VPC面板 VPC 1 ${clusterName}-vpc NAT 3 ${clusterName}-nat 对应VPC为：${clusterName}-vpc；对应子网为：${clusterName}-subnet-public-${az1} ${clusterName}-nat 对应VPC为：${clusterName}-vpc；对应子网为：${clusterName}-subnet-public-${az2} ${clusterName}-nat 对应VPC为：${clusterName}-vpc；对应子网为：${clusterName}-subnet-public-${az3} 子网 6 ${clusterName}-subnet-public-${az1} ${clusterName}-subnet-private-${az1} ${clusterName}-subnet-public-${az2} ${clusterName}-subnet-private-${az2} ${clusterName}-subnet-public-${az3} ${clusterName}-subnet-private-${az3} 以上子网对应的VPC均为：${clusterName}-vpc 路由表 7 ${clusterName}-rt-public-${az1}，显式子网关联为：${clusterName}-subnet-public-${az1} ${clusterName}-rt-private-${az1}，显式子网关联为：${clusterName}-subnet-private-${az1} ${clusterName}-rt-public-${az2}，显式子网关联为：${clusterName}-subnet-public-${az2} ${clusterName}-rt-private-${az2}，显式子网关联为：${clusterName}-subnet-private-${az2} ${clusterName}-rt-public-${az3}，显式子网关联为：${clusterName}-subnet-public-${az3} ${clusterName}-rt-private-${az3}，显式子网关联为：${clusterName}-subnet-private-${az3} Name为空，显式子网关联为空 以上路由表对应的VPC均为：${clusterName}-vpc 互联网网关 1 ${clusterName}-igw，对应VPC为：${clusterName}-vpc 网络ACL 1 Name为空，关联对象为“6子网”，对应VPC为：${clusterName}-vpc 父主题： 多云集群

操作步骤 “/mnt/paas/kubernetes/kubelet/cpu_manager_state”文件储存的是原先的cpu_manager_policy，是针对原先CPU核数的绑核设置，需要进行删除。然后重启kubelet，让cpu_manager根据现有的CPU Topology进行绑核，重新生成cpu_manager_state。 因此，需要执行以下命令： rm /mnt/paas/kubernetes/kubelet/cpu_manager_state systemctl restart kubelet 等待一段时间，节点恢复正常。

操作步骤 由于proxy-agent中已配置VPCEP的IP地址，在新建VPCEP时需要指定IP，请确保IP未被占用。 登录 VPC终端节点 控制台检查UCS服务所在区域的VPCEP是否被删除。如确认对接UCS的VPCEP被删除，则可继续执行以下步骤。 登录接入异常集群的Master节点。 查询proxy-agent中配置的IP信息。 kubectl get deploy -n kube-system proxy-agent -oyaml | grep -A3 hostAliases 回显如下： hostAliases:- hostnames: - proxyurl.ucs.myhuaweicloud.com ip: 10.0.0.182 在UCS所在区域新建一个VPCEP，并指定该IP地址，单击“查看已使用IP地址”以确保该IP地址未使用。如IP地址已占用，则需编辑集群中的proxy-agent配置，请参考编辑proxy-agent配置。 图1 购买终端节点（指定节点IP） 单击“立即购买”，重新创建一个VPCEP。 等待1-3分钟，前往UCS控制台重新刷新集群状态。

编辑proxy-agent配置 在UCS所在区域新建一个VPCEP。 图2 购买终端节点（自动分配节点IP） 单击新创建VPCEP的ID，查看自动分配的节点IP。 图3 VPCEP详情 登录接入异常集群的Master节点。 编辑proxy-agent中配置的IP信息。 kubectl edit deploy -n kube-system proxy-agent 修改hostAliases字段下的IP： hostAliases:- hostnames: - proxyurl.ucs.myhuaweicloud.com ip: 10.0.0.122 按“ESC”，输入:wq，按“ENTER”完成编辑。 等待1-3分钟，前往UCS控制台重新刷新集群状态。

步骤三：在UCS添加调度策略 DNS解析添加完成后，回到UCS控制台“创建流量策略”页面，选择新添加的域名。如域名未同步，可单击右侧按钮进行刷新。 图4 创建流量策略 参考创建流量策略，为新添加的域名添加调度策略。 图5 调度策略 检验新增调度策略是否生效。 以Linux系统为例，您可以在已经连接Internet的终端的命令窗口使用如下命令测试调度策略是否生效，命令格式如下： dig 目标域名 如果Linux终端的操作系统没有自带dig命令，需要手动安装后才能使用。例如CentOS系统，可执行yum install bind-utils安装。 如下图所示，回显中“ANSWER SECTION”的IP地址为目标集群负载均衡IP，则表示调度策略创建成功。

操作步骤 登录集群Master节点。 查看proxy-agent运行状态。 kubectl -n kube-system get pod | grep proxy-agent 回显如下，pod状态处于ImagePullBackOff或Pending： proxy-agent-59ddf7597b-rq4j6 0/1 ImagePullBackOff 0 2d16hproxy-agent-59ddf7597b-sjf55 0/1 Pending 0 2d16h 查看Pod的详细信息。 kubectl describe pod proxy-agent-*** -nkube-system 可能出现如下错误： K8s事件显示集群无法拉取proxy-agent镜像，请您确保集群具备访问公网的能力，可正常拉取SWR镜像。 K8s事件显示节点的CPU或内存资源不足，请您扩容节点资源。 K8s事件显示没有符合调度规则的节点。proxy-agent为实现高可用性，默认将两个实例调度至不同的节点，请您确保集群中至少存在两个节点具有足够的资源。 K8s事件显示gatekeeper相关字样，可能是由于创建的策略实例进行了拦截。为解决此问题，请在集群上执行以下命令删除相应策略实例。 kubectl delete constraint --all 以上问题解决后，重新查看proxy-agent运行状态，所有Pod处于“Running”状态。

操作步骤 此类问题是由于Cilium社区对“Terminating”状态的Pod并不会进行Cilium Endpoint摘除，导致部分请求分流到关机节点，从而导致请求失败。请按照如下指导处理： 执行以下命令，删除“Terminating”状态的Pod。 kubectl get pods -nkube-system | grep Terminating | awk '{print $1}'|xargs kubectl delete pods -nkube-system 执行以下命令确定没有异常Pod。 kubectl get pods -nkube-system 等待数分钟后，集群控制台恢复正常。

操作说明 当前仅支持x86计算类型的服务器，暂不支持鲲鹏计算类型的服务器。 安装客户端时，系统会以“rdadmin”用户运行安装程序。请定期修改Agent的操作系统“rdadmin”用户的登录密码，并禁止“rdadmin”用户远程登录，以提升系统运维安全性。详情请参见修改rdadmin帐号密码。 支持安装客户端的操作系统如表1所示。 表1 支持安装客户端的操作系统列表 数据库名称 操作系统类型 版本范围 SQLServer 2008/2012/2019 Windows Windows Server 2008, 2008 R2, 2012, 2012 R2, 2019 for x86_64 SQLServer 2014/2016/EE Windows Windows Server 2014, 2014 R2, 2016 Datacenter for x86_64 MySQL 5.5/5.6/5.7 Red Hat Red Hat Enterprise Linux 6, 7 for x86_64 SUSE SUSE Linux Enterprise Server 11, 12, 15 SP1, 15 SP2 for x86_64 CentOS CentOS 6, 7 for x86_64 Euler Euler OS 2.2, 2.3 for x86_64 HANA 1.0/2.0 SUSE SUSE Linux Enterprise Server 12 for x86_64 客户端安装时，系统会打开弹性云服务器的59526-59528端口的防火墙其中之一。当59526端口被占用时，则会打开59527端口的防火墙，以此类推。

支持审计的关键操作列表 表1 云审计 服务支持的CBR操作列表 操作名称 资源类型 事件名称 创建策略 policy createPolicy 更新策略 policy updatePolicy 删除策略 policy deletePolicy 设置存储库策略 vault associatePolicy 解除存储库策略 vault dissociatePolicy 创建存储库 vault createVault 修改存储库 vault updateVault 删除存储库 vault deleteVault 移除资源 vault removeResources 添加资源 vault addResources 执行复制 vault replicateVaultBackup 执行备份 vault createVaultBackup 创建备份 backup createBackup 删除备份 backup deleteBackup 同步备份 backup syncBackup 恢复备份 backup restoreBackup 复制备份 backup replicateBackup

示例流程 图1 给用户授予CBR权限流程 创建用户组并授权 在IAM控制台创建用户组，并授予云备份只读权限“CBR ReadOnlyAccess”。 创建用户并加入用户组 在IAM控制台创建用户，并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台，切换至授权区域，验证权限： 在“服务列表”中选择云备份，进入CBR的云服务器备份，单击右上角“ 购买云服务器 备份存储库”，尝试购买云服务器备份存储库，如果无法购买云服务器备份存储库，表示“CBR ReadOnlyAccess”已生效。 在“服务列表”中选择除云备份外的任一服务，若提示权限不足，表示“CBR ReadOnlyAccess”已生效。

Windows系统操作步骤 登录已安装客户端的云服务器。 打开命令行窗口，进入“安装路径\bin”目录。 输入agentcli.exe chgsnmp命令，输入客户端登录帐号的密码，按“Enter”。 Please choose operation: 1: Change authentication password 2: Change private password 3: Change authentication protocol 4: Change private protocol 5: Change security name 6: Change security Level 7: Change security model 8: Change context engine ID 9: Change context name Other: Quit Please choose: “admin”为安装客户端时设置的用户名。 选择需要修改的授权认证密码或 数据加密 密码对应序号，按“Enter”。 输入旧密码，按“Enter”。 输入新密码，按“Enter”。 再次输入新密码，“Enter”。完成修改密码。

Linux系统操作步骤 使用服务器密码登录Linux系统服务器。 执行TMOUT=0命令，防止“PuTTY”超时退出。 执行该命令后，当前系统在无操作时会保持运行状态，存在安全风险，为了确保系统安全，请在完成相应操作后，执行exit退出当前系统。 执行su - rdadmin命令，切换为“rdadmin”用户。 执行/home/rdadmin/Agent/bin/agentcli chgsnmp命令，输入客户端登录帐号的密码，按“Enter”。 客户端安装路径固定为“/home/rdadmin/Agent”。 Please choose operation: 1: Change authentication password 2: Change private password 3: Change authentication protocol 4: Change private protocol 5: Change security name 6: Change security Level 7: Change security model 8: Change context engine ID 9: Change context name Other: Quit Please choose: 选择需要修改的授权认证密码或数据加密密码对应序号，按“Enter”。 输入旧密码，按“Enter”。 输入新密码，按“Enter”。 再次输入新密码，按“Enter”。完成修改密码。

背景说明 安全组是一个逻辑上的分组，为同一个 虚拟私有云VPC 内具有相同安全保护需求并相互信任的弹性云服务器提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当弹性云服务器加入该安全组后，即受到这些访问规则的保护。安全组的默认规则是在出方向上的数据报文全部放行，安全组内的弹性云服务器无需添加规则即可互相访问。系统会为每个云帐号默认创建一个默认安全组，用户也可以创建自定义的安全组。 当创建安全组时，需要用户添加对应的入方向和出方向访问规则，放通启用数据库备份需要的端口，以免数据库备份失败。

客户端状态显示异常 问题现象： 安装客户端后，界面上客户端列表里客户端状态为“异常”。 可能原因： 客户端状态异常 解决方案： 查看客户端进程是否正常运行；如果进程已退出，重新运行客户端进程。 Windows系统下可以双击agent_start.bat文件，Linux系统下执行命令service cbragent start。 重新安装文件备份客户端。 检查客户端时间和时区，如果发现客户端与服务器的时间相差大于15分钟，请根据本地UTC时间调整本地时间以避免此问题。如果调整完成后，客户端状态仍然异常，则是由于系统查询客户端状态不是实时的，需要等待半小时左右可恢复正常。

安装失败，提示“Incorrect IAM authentication information” 问题现象： 安装客户端时失败，提示“Incorrect IAM authentication information”。 图2 安装失败，提示“Incorrect IAM authentication information” 可能原因： 安装时，填写参数AK、SK可能不正确。 解决方案： 正确获取安装参数AK、SK，重新填写。 重新安装客户端。