本章介绍如何查看服务器详情。 操作场景 安装并启动Agent后，迁移Agent会自动收集源端服务器信息并发送给主机迁移服务默认迁移任务下。收集的所有信息仅用于数据迁移，不会用做其他用途。具体收集源端哪些信息可查看主机迁移服务会收集源端的哪些信息？。您可以随时登录管理控制台查看服务器信息，包括源端服务器详情、目的端配置信息、迁移状态以及错误信息提示等。 操作步骤 1. 登录主机迁移服务管理控制台。 2. 在左侧导航树中，单击“迁移服务器”，进入迁移服务器列表页面。 3. 单击要查看的服务器名称，进入服务器概览页面。 4. 在服务器概览页面，您可以查看源端服务器信息。 1. 在“基本信息”页签，可以查看迁移配置、目的端配置以及当前迁移任务进展。 2. 在“任务跟踪”页签，可以查看具体迁移状态和当前迁移进度。 3. 在“源端检查项”页签，可以查看迁移检查项结果以及失败原因。 4. 在“磁盘”页签，可以查看源端磁盘分区情况。 5. 在“网卡”页签，可以查看源端网卡信息。

本文为您介绍如何自行为计算加速型GPU云主机安装cuDNN加速库的操作方法。 cuDNN版本需与已安装的NVIDIA Tesla驱动、CUDA版本相互适配，建议参考Tesla驱动及相关组件版本兼容指南选择合适版本。 前提条件 已成功安装适配版本的NVIDIA Tesla驱动及CUDA工具包，且驱动与CUDA版本相互兼容。 在Linux操作系统中安装cuDNN 下载cuDNN 在安装开始之前建议根据Tesla驱动及相关组件版本兼容指南选择合适的cuDNN版本。 1. 获取cuDNN安装包下载链接。本章以cuDNN9.2.0、cuda 12.8.1版本为例。访问cuDNN下载官网，选择与已安装CUDA版本匹配的cuDNN版本，操作系统选择Linux，架构选择x8664，安装包类型为Tarball，CUDA版本为12，复制下载链接。 2. 输入如下命令下载cuDNN安装包。 plaintext wget 安装cuDNN 1. 解压 cuDNN包 plaintext tar xvf cudnnlinuxx86649.2.0.82cuda12archive.tar.xz 2. 复制头文件、库文件到CUDA目录 plaintext 复制cuDNN头文件到CUDA头文件目录 sudo cp cudnnlinuxx86649.2.0.82cuda12archive/include/cudnn.h /usr/local/cuda/include/ 复制cuDNN库文件到CUDA库目录 sudo cp P cudnnlinuxx86649.2.0.82cuda12archive/lib/libcudnn /usr/local/cuda/lib64/ 3. 赋予文件权限 plaintext sudo chmod a+r /usr/local/cuda/include/cudnn.h /usr/local/cuda/lib64/libcudnn 4. 更新系统库缓存 plaintext sudo ldconfig 5. 验证安装是否成功 查看cuDNN版本信息。 plaintext cat /usr/local/cuda/include/cudnnversion.h grep CUDNNMAJOR A 2 预期输出结果为： plaintext define CUDNNMAJOR 9 define CUDNNMINOR 2 define CUDNNPATCHLEVEL 0 在Windows操作系统中安装cuDNN

本文为您介绍如何自行为计算加速型GPU云主机安装cuDNN加速库的操作方法。 cuDNN版本需与已安装的NVIDIA Tesla驱动、CUDA版本相互适配，建议参考Tesla驱动及相关组件版本兼容指南选择合适版本。 前提条件 已成功安装适配版本的NVIDIA Tesla驱动及CUDA工具包，且驱动与CUDA版本相互兼容。 在Linux操作系统中安装cuDNN 下载cuDNN 在安装开始之前建议根据Tesla驱动及相关组件版本兼容指南选择合适的cuDNN版本。 1. 获取cuDNN安装包下载链接。本章以cuDNN9.2.0、cuda 12.8.1版本为例。访问cuDNN下载官网，选择与已安装CUDA版本匹配的cuDNN版本，操作系统选择Linux，架构选择x8664，安装包类型为Tarball，CUDA版本为12，复制下载链接。 2. 输入如下命令下载cuDNN安装包。 plaintext wget 安装cuDNN 1. 解压 cuDNN包 plaintext tar xvf cudnnlinuxx86649.2.0.82cuda12archive.tar.xz 2. 复制头文件、库文件到CUDA目录 plaintext 复制cuDNN头文件到CUDA头文件目录 sudo cp cudnnlinuxx86649.2.0.82cuda12archive/include/cudnn.h /usr/local/cuda/include/ 复制cuDNN库文件到CUDA库目录 sudo cp P cudnnlinuxx86649.2.0.82cuda12archive/lib/libcudnn /usr/local/cuda/lib64/ 3. 赋予文件权限 plaintext sudo chmod a+r /usr/local/cuda/include/cudnn.h /usr/local/cuda/lib64/libcudnn 4. 更新系统库缓存 plaintext sudo ldconfig 5. 验证安装是否成功 查看cuDNN版本信息。 plaintext cat /usr/local/cuda/include/cudnnversion.h grep CUDNNMAJOR A 2 预期输出结果为： plaintext define CUDNNMAJOR 9 define CUDNNMINOR 2 define CUDNNPATCHLEVEL 0 在Windows操作系统中安装cuDNN

项目 说明 源端服务器数量 单个用户源端服务器限制1000台，如果有超过1000台的情况，请在服务器列表页面删除已完成迁移的服务器。 操作系统 · 仅支持迁移兼容性列表内的操作系统。 · 不支持迁移多操作系统。 磁盘可用空间大小 · Windows：当分区大于600MB，该分区的可用空间小于320MB时不能迁移；当分区小于600MB，该分区的空间小于40MB时不能迁移。 · Linux：根分区可用空间小于200MB时不能迁移。 文件系统 · Windows：只支持NTFS类型文件系统。 · Linux：只支持ext2、ext3、ext4、vfat、xfs、btrfs文件系统。 共享文件系统 只支持迁移本地磁盘上的文件，不支持迁移共享文件系统 例如：NFS（Network File System）、Common Internet File System、NAS（Network Attached Storage）等中的文件。 加密文件 不支持含有受保护文件夹、加密卷的系统。 数据库和活动目录域（AD DS）应用 主机迁移服务不支持AD和多节点的数据库迁移。 应用与硬件绑定 不支持含有与硬件绑定的应用的系统。 动态磁盘 在Windows系统中，动态磁盘会当做基本磁盘来迁移，迁移完成后，目的端服务器不会有动态磁盘。 加入域的主机 迁移加入域主机时，在迁移完成后，目的端服务器需要重新加入域。

实例操作和日志观测 本文介绍如何对agent智能体拉起的实例进行操作和日志观测。 在agent智能体拉起实例后，我们提供了实例的交互式终端访问功能。用户可以通过实例登录入口执行任意支持的操作命令，获得与本地Shell同等的操作体验。同时，我们还提供实例日志输出功能，用户可以直接观测该实例输出的日志。 登录实例(WebShell) 我们为agent智能体拉起的每个实例都提供了原生的Shell接入能力。用户可以直接登录到实例，获得类似于kubectl exec it /bin/bash的交互式操作能力，在一个完全交互式的命令行环境中直接运行所有实例内支持的操作命令。实例登录入口如下： 弹性与实例 实例列表 登录实例 登录到WebShell后，界面如下所示： 注1：登录实例后需要谨慎操作。线上环境的变化有可能导致实例上正在执行的任务失败，并直接影响该实例后续任务的成功率，如因人为因素导致的故障，将不会统计到产品 SLA 中。 注2：登录实例时将按照活跃实例进行计费。 实例日志 我们还为agent智能体拉起的每个实例都提供实时的实例日志查看能力。用户可以获取实例的标准输出/错误日志，获得类似于kubectl logs tail0 f的检索能力。实例日志入口如下： 弹性与实例 实例列表 实例日志 实例日志返回的日志样式如下所示：

操作步骤 磁盘自动扩容 1. 登录管理控制台。 2. 进入Kafka管理控制台。 3. 在实例列表页的操作列，目标实例行点击“管理”按钮。 4. 点击“智能运维”、“弹性伸缩”菜单进入磁盘水位处理页面。 5. 在磁盘水位处理页面开启磁盘自动扩容。 6. 点击“配置”按钮，可调整配置参数。 动态策略：当磁盘使用量达到指定比例后，系统自动扩容磁盘指定比例的容量，单节点最低扩容100GB。 最高磁盘：实例磁盘总容量扩容到指定值后不再扩容。 7. 点击“确定”按钮保存配置。 8. 点击调整记录列的“查看”按钮跳转至任务列表查看磁盘自动扩容调整记录。 动态消息保留策略 1. 登录管理控制台。 2. 进入Kafka管理控制台。 3. 在实例列表页的操作列，目标实例行点击“管理”按钮。 4. 点击“智能运维”、“弹性伸缩”菜单进入磁盘水位处理页面。 5. 在磁盘水位处理页面开启动态消息保留策略。 6. 点击“配置”按钮，可调整配置参数。 动态策略：当磁盘使用量达到指定比例后，系统自动调整主题的消息保留时长，删除指定比例的最早消息数据。 保底时长：主题消息的最低保留时长，当某个主题的保留时长调整到该值后，该主题不会再被调整。 7. 点击“确定”按钮保存配置。 8. 点击调整记录列的“查看”按钮跳转至任务列表查看动态消息保留记录。

本文为您介绍如何在ECI实例中查看GPU信息。 背景信息 nvidiasmi是NVIDIA System Management Interface的缩写，是一种用于监视和管理NVIDIA GPU的命令行工具。它提供了有关GPU的详细信息，包括GPU的使用情况、温度、电源消耗、驱动程序版本等。通过nvidiasmi，可以了解GPU的性能和健康状况，以及识别任何可能的问题。使用nvidiasmi，可以完成下列管理： 监视GPU的使用情况：nvidiasmi可以显示GPU的当前使用率、内存使用情况、温度和功耗等信息。这对于调试和优化GPU应用程序非常有用。 管理GPU的电源消耗：nvidiasmi可以显示GPU的功耗和电源限制，并允许您调整GPU的电源模式和限制，以平衡性能和功耗之间的关系。 检查驱动程序版本：nvidiasmi可以显示已安装的NVIDIA驱动程序的版本号，以便您了解驱动程序是否需要更新。 监控GPU的温度：nvidiasmi可以提供GPU的温度信息，帮助您确保GPU在安全的温度范围内运行。 前期准备 已开通天翼云弹性容器实例服务。 ECI容器镜像中已安装nvidia显卡驱动。 操作步骤 下面将介绍如何在ECI实例中使用nvidiasmi工具查看GPU信息： 1. 通过天翼云弹性容器实例订购页面创建ECI GPU实例。 2. 选择已安装nvidia显卡驱动的容器镜像。 3. 在ECI控制台管理页面进入实例详情。 4. 点击“远程连接”标签，当容器连接成功后，执行nvidiasmi命令即可查看GPU信息，如下图所示：

主机发现功能使用说明？ 通过已经安装了Agent的主机，可选择ping、arp、nmap等方式，对同个网段的机器进行扫描来发现未装Agent的机器信息，方便IT部门及时纳入管理。 入侵检测哪些功能支持自动响应？ 已经支持暴力破解、异常登录、后门检测、Web后门、反弹Shell和本地提权告警事件开启自动响应的能力。

关系数据库MySQL版提供任务中心功能，开启后您可以查看用户的运维操作日志。 使用场景 实例管理动作追踪。 实例操作安全审计。 查看历史任务 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击 管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 任务列表，进入任务列表页面。然后在顶部菜单栏，选择区域和项目。 3. 查看所有实例的任务信息。 支持根据实例ID、任务状态、任务名称和任务时间进行筛选。 任务类型 任务中心记录的任务类型如下表： 任务类型 迁移可用区 升级内核小版本 升级数据库版本 存储空间自动扩容 性能自动扩容 修改安全组 删除安全组 重启实例 应用参数组 创建实例 修改密码 主备切换 扩容预处理 扩容恢复 修改端口 绑定弹性IP 解绑弹性IP 修改高可用模式 企业项目迁移 修改数据复制方式

本节针对企业主机安全的基线检查和整改的最佳实践进行介绍。 企业主机安全HSS每日凌晨会自动执行基线检查，待检查完成后，可查看并修复配置、弱口令风险。 整改弱口令 “账号暴力破解攻击”是最常见的入侵方式之一，当主机中存在弱口令时，极易被攻击方通过弱口令完成入侵，因此弱口令风险需要优先修复。 企业主机安全HSS支持SSH、FTP、MYSQL类型弱口令，系统中应用的弱口令或默认口令需要您自行排查，如nacos、weblogic等。 步骤： 1、登录管理控制台。 2、选择页面左上角的按钮，选择“企业主机安全”，进入主机安全平台界面。 3、选择左侧导航树的“风险预防 > 基线检查”，进入基线检查界面。 4、在“经典弱口令”页签，查看检测出的弱口令。 5、登录所有含弱口令的主机，修改弱口令。 整改配置检查高风险项 1、登录管理控制台。 2、选择页面左上角的按钮，选择“企业主机安全”，进入主机安全平台界面。 3、在左侧导航树中，选择“风险预防 > 基线检查”，进入基线检查界面。 4、选择“配置检查”页签，查看并修复所有高风险基线。 单击基线名称，进入基线详情页面。 选择“ 检查项 > 未通过 ”页签，单击高风险检查项所在行 “操作” 列的 “检测详情”，查看修改建议。 按建议修改完成后，单击操作列的“验证”，验证修改结果。

天翼云主机迁移服务产品服务协议

本节介绍了用户指南:使用OceanFS动态存储卷(subPath模式)。 云容器引擎支持使用天翼云海量文件存储持久卷。cstorcsi插件支持使用海量文件服务动态存储卷和静态存储卷，通过将存储卷挂载到容器指定目录，以满足数据持久化需求。 subPath模式是指将海量文件存储中的指定子目录作为持久卷使用。当用户挂载持久卷声明时，持久卷中记录的子目录会被挂载到容器中。 前提条件 已创建容器集群 已在插件市场安装存储插件cstorcsi，插件版本>3.6.0，且插件正常运行。（建议使用>4.0的CSI版本） 使用限制 参见海量文件使用限制 通过控制台使用海量文件动态存储卷 1、创建存储类（StorageClass） 登录“云容器引擎”管理控制台； 在集群列表页点击进入指定集群； 进入主菜单“存储”——“存储类”，单击左上角“创建”； 在创建对话框，配置存储类StorageClass的相关参数。配置项说明如下： 配置项 说明 名称 StorageClass的名称。 存储类型 当前支持云盘、弹性文件、对象存储、并行文件、海量文件，这里选择海量文件。 具体创建页中展示的存储类型由当前资源池支持情况决定。 存储驱动 采用默认CSI驱动。 模式 新建海量文件：每次创建持久卷申明时，均创建一个新的海量文件与之对应。 新建子目录：基于某个已经存在的海量文件，每次创建持久卷申明时，在这个海量文件上创建一个子目录与之对应。 选择新建子目录模式。 计费模式 可以选择按需计费或者包年包月。 回收策略 回收策略，默认为Deleted。 Retained（保留）：用户可以手动回收资源。当 PVC对象被删除时，PV 卷仍然存在，对应的数据卷被视为"已释放（released）"。 Deleted（删除）：对于支持 Delete 回收策略的卷插件，删除动作会将 PV对象从 Kubernetes 中移除，同时也会从外部基础设施中移除所关联的存储资产。 如果对数据安全性要求高，推荐使用Retain方式，以免误删数据。 绑定策略 绑定策略，仅支持Immediate。 Immediate 模式：表示一旦创建了 PVC，也就完成了卷绑定和动态供应。 对于由于拓扑限制而非集群所有节点可达的存储后端，PV会在不知道 Pod 调度要求的情况下绑定或者制备。 支持扩容 默认该开关是打开的，一般也建议打开。 如果关闭该开关，则使用该存储类的pvc，无法被扩容。 挂载选项 挂载参数，用户可根据自己的情况实际定制相关参数。 注意：请务必在挂载时使用noresvport参数，该参数可以在网络故障时自动切换端口，保障网络连接，防止文件系统卡住。挂载参数的说明参见 查看这里 参数 海量文件名称：需要选择一个海量文件，后续会基于该海量文件分配子目录 子目录回收策略： 保留：当持久卷被csi删除时，会保留子目录在文件存储中，不做删除。默认为该选项。 删除：当持久卷被csi删除时，会删除文件存储中对应的子目录，数据无法恢复。 注意 删除子目录属于高危操作，请谨慎选择“删除”子目录回收策略。 参数配置完成后，点击“确定”。创建成功后，可以在存储类列表查看。

本文介绍类CTyunOS私有镜像制作方法，类CTyunOS（如CentOS、openEuler、Kylin、Rocky、Suse、Redhat等）的私有镜像制作可参考本文。本文适用于x8664标准裸金属和弹性裸金属的私有镜像（弹性裸金属镜像需添加OFED驱动以支持DPU）。 1. 获取系统安装镜像 请通过提交工单以获取CTyunOS的系统安装光盘镜像，下面我们假设您已经获取了CTyunOS 23.01.2的系统安装光盘镜像ctyunos23.01.220230809x8664dvd.iso。 2. 使用virtmanager安装操作系统 2.1 确保有使用virtmanager的权限 注意，使用virtmanager需要必要的权限。如果使用非root用户操作virtmanager，可以把用户加入libvirt组。参考Libvirt，重启后当前用户加入libvirt组生效。 plaintext 把当前用户加入到libvirt组 sudo gpasswd a $USER libvirt 2.2 激活默认的虚拟网络 打开virtmanager，选中QEMU/KVM后，点上方菜单“编辑”> “连接详情”。出现“连接详情”窗口后选择“虚拟网络”标签页，点下方的三角按钮，激活默认的虚拟网络。 2.3 创建新虚拟机 点击工具栏中的“创建新虚拟机”以创建新虚拟机。选择“本地安装介质（ISO映像或者光驱）”后，点“Forward”。

本文主要介绍应用场景 性能测试具备强大的分布式压测能力，应用十分广泛，适合互联网、数字化营销平台、车联网、金融等各行业。 电商抢购测试 电商抢购已成为当前互联网应用的普遍需求，有并发用户高、突发请求大、失败用户反复重试等特征，如何保证在高负载运行情况下网站的可用性已经成为运维保障的重点。 优势 真实场景模拟：秒级百万并发能力，瞬间发起大量并发压力，可在一个测试模型里面模拟全网站高负载。 专业测试报告：提供按时延响应区间的统计，客观反映用户体验。 失败用户重试：多种表达式的自定义结果比对，未正常进入网站的可以重试。 电商抢购测试 游戏高峰测试 游戏行业业务波峰波谷明显，具备弹性伸缩的能力，一方面需要验证弹性伸缩是否可以正常工作，另一方面需要验证在流量突发高峰场景下，时延等关键KPI是否达标。 优势 多场景组合模拟：通过多事务组合、事务元素多样性、报文自定义功能模拟真实场景。 波峰波谷模拟：针对每个单事务根据时间段定义压测曲线，模拟波峰波谷。 KPI度量：通过自定义响应超时时间，验证高峰场景游戏KPI满足度。 游戏高峰测试

本节介绍关闭弱口令策略后，之前扫描的弱口令事件为什么还会重复出现。 若您在关闭弱口令策略前，已经修改弱口令事件，进行重新检测并符合弱口令检测要求，该弱口令事件不会在重复出现。 若您在关闭弱口令策略前，未修改弱口令事件，已经检测出来的结果不会改变，系统也将不再进行新的检测且历史检测结果会保留30天。 为保障您的主机安全，请您及时修改登录主机系统时使用弱口令的帐号，如SSH帐号。 为保障您主机内部数据信息的安全，请您及时修改使用弱口令的软件帐号，如MySQL帐号和FTP帐号等。 验证 ：完成弱口令修复后，建议您立即执行手动检测，查看弱口令修复结果。如果您未进行手动验证且未关闭弱口令检测，HSS会在次日凌晨执行自动验证。

参数名称 是否必填 参数说明 弹性文件服务 是 选择已创建的SFS文件系统实例。 VPCE挂载地址 是 选择SFS文件系统实例下的VPCE挂载地址。 远端目录 是 远端SFS中的目录是指位于SFS文件系统中的绝对目录，以/开头。 沙箱本地目录 是 设置沙箱运行环境中的本地目录。

本节介绍智算套件应用场景。 AI训练 支持大模型训练需要具备的超大规模算力调度、高效并行算法设计、稳定收敛优化、海量数据工程处理及故障容错恢复的综合能力。 AI推理 推理应用支持多推理引擎、智能资源调度、异构资源兼容、弹性伸缩，实现大模型在多场景下的高效部署与便捷调用。

接口描述：调用本接口新增加速域名 请求方式：post 请求路径：/domain/createdomain 使用说明： 添加域名之前，您需要先开通对应产品类型的服务； 该域名必须已成功备案； 该域名已完成域名归属权验证，若域名归属权验证失败，则接口会返回校验内容，具体可参考验证域名归属权，校验成功后才可以新增该域名； 该域名之前未创建过，没有在途工单，该域名没有叠加其余产品； 单个用户一分钟限制调用10次； 调用本接口新增时仅支持最简单配置，若需要对域名进行更复杂配置，请创建后再调用增量修改域名配置接口。 请求参数说明（json）： 参数名 类型 是否必填 名称 说明 ::::: action int 是 域名操作动作 固定值1 domain string 是 域名 仅支持单个域名 productcode string 是 产品业务类型 “001”（静态加速）,“003”:（下载加速）, “004”（视频点播加速）,“008”（CDN加速），“014”（下载加速闲时） areascope int 否 加速范围 1（国内）；2（海外）； 3（国内+海外），不填默认为1 ipv6enable int 否 ipv6启用 1（启用）； 2（关闭），不传默认开启 origin list 是 源站信息 origin[].origin string 是 源站ip或域名 origin[].port int 是 源站端口 支持http自定义端口，http不支持下发443端口，多个源站时，源站端口需保持一致 origin[].weight int 是 权重 范围：1100 origin[].role string 是 源站角色 取值: master, slave xosoriginis int 否 是否开启云存储XOS源站配置功能 枚举值：0（关闭）， 1（开启）；默认0 xosorigin object 否 云存储XOS源站信息 当xosoriginis为1的时候，xosorigin必传 xosorigin[].origin string 是 云存储XOS源站 xosorigin[].ak string 否 云存储XOS源站加密ak ak与sk必须同时填写 xosorigin[].sk string 否 云存储XOS源站加密sk ak与sk必须同时填写 返回参数说明： 参数 类型 是否必传 名称及描述 ::: code int 是 状态码，成功100000 message string 是 描述信息，成功返回success，其他返回异常信息描述 domainzone string 否 主域名zone，域名校验失败时，域名对应的主域名zone zonetype string 否 记录类型，域名校验失败时，生成的记录类型，如TXT zonehost string 否 主机记录，域名校验失败时，生成的主机记录，如dnsverify zonerecord string 否 记录值，域名校验失败时，生成的记录值，如202208201502416f4431f54f7b441b9425dc0e1a6b9d853a8fcd1119e142429

如何进行漏洞扫描 漏洞扫描支持定期扫描和立即扫描，同一时间只支持1个漏洞扫描任务。 如配置了定期扫描且定期扫描已经开始执行了，执行立即扫描将会提示您已有任务在执行。 如果配置了定期扫描，但是定期扫描开始执行时，有立即扫描任务在执行，定期扫描任务将不会执行。 建议您配置针对全部服务器每3天凌晨开始执行的定期扫描任务，如果再有对特定的一些服务器的立即扫描需求，可配置立即扫描任务进行漏洞扫描。 定期扫描 支持按每天，每3天，每7天指定时间执行漏洞扫描任务，建议设置为每3天的凌晨2点到凌晨5点期间进行扫描，一般凌晨2点到5点为业务低谷期间。 立即扫描 根据您的需求随时下发漏洞扫描任务，可点击一键扫描按钮，进行漏洞扫描设置，立即下发漏洞扫描任务。 查看漏洞扫描结果 漏洞扫描任务完成后，扫描结果展示在“上一次扫描详情”处。如下图所示，包括扫描时间、漏洞情况和查看详情。 点击“详情”，可以查看上一次扫描的统计情况和基于主机展示的漏洞列表。 在统计情况中，可以查看扫描类别、漏洞类别、开始时间、结束时间、漏洞风险数和风险主机/目标检测主机。 在基于主机展示的漏洞列表中，为您展示服务器、操作系统、检测状态、检测开始时间、检测结束时间和漏洞数量。 当点击漏洞列表中漏洞数量列的数字时，跳转至资产详情页面，如下图所示。在资产详情页面，为您展示该服务器的基本信息和漏洞情况。

本节介绍NFS协议的文件存储如何挂载到Linux系统的边缘虚拟机上。 操作场景 当创建文件存储后，您需要使用边缘虚拟机来挂载该文件存储，以实现多个边缘虚拟机共享使用文件存储的目的。 同一文件存储不能同时支持 NFS 协议和 SMB 协议。 边缘裸金属服务器操作与边缘虚拟机一致，但裸金属服务器使用的是 underlay 的 VPC 网络挂载文件存储。 前提条件 在需要操作的地域创建虚拟私有云 VPC。 已创建该 VPC 下的边缘虚拟机，并根据操作系统类型，安装相应的 NFS 客户端。 已创建该 VPC 下的文件存储，协议类型为 NFS，并获取到文件存储的挂载点名称。 如果需要跨 VPC 访问文件存储，需要配置对等连接以确保 VPC 网络互通。 操作步骤 1. 以 root 用户登录弹性边缘虚拟机。 2. 安装 NFS 客户端。 查看系统是否安装 NFS 软件包。 说明 CentOS、Red Hat、Oracle Enterprise Linux、SUSE、Euler OS、Fedora或OpenSUSE系统下，执行如下命令： rpm qagrep nfs Debian或Ubuntu系统下，执行如下命令： dpkg l nfscommon 不同操作系统回显会有所不同，如果回显如下类似信息，说明已经成功安装 NFS 软件包。 说明 CentOS、Red Hat、Euler OS、Fedora 或 Oracle Enterprise Linux 系统下，回显如下类似信息： libnfsidmap nfsutils SUSE 或 OpenSUSE 系统下，回显如下类似信息： nfsidmap nfsclient Debian 或 Ubuntu 系统下，回显如下类似信息： nfscommon 如果查看到未安装，根据不同的操作系统，执行不同命令。 注意 执行以下命令前要求边缘虚拟机已连接到互联网，否则安装 NFS 客户端失败。 说明 CentOS、Red Hat、Euler OS、Fedora 或 Oracle Enterprise Linux 系统下，执行如下命令： sudo yum y install nfsutils Debian 或 Ubuntu 系统下，执行如下命令： sudo aptget install nfscommon SUSE 或 OpenSUSE 系统下，执行如下命令： zypper install nfsclient 3. 执行如下命令，创建用于挂载文件存储的本地路径。 mkdir 本地路径 说明 如果本地路径已挂载其他磁盘等资源，为被占用状态时，需要新建其它目录进行挂载（nfs 客户端不会对重复挂载进行拦截，当重复挂载时会表现为最后一次成功挂载的信息）。 4. 执行如下命令，将文件存储挂载到与文件存储所属 VPC 相同的边缘虚拟机上。 mount t nfs o vers3,timeo600,noresvport,nolock 挂载地址 本地路径 参数说明 参数 说明 :: vers 文件存储版本，支持 NFSv3 和 NFSv4。如果您的业务场景不包含多台实例同时编辑同一个文件，建议您选择 NFSv3，达到最优性能。 timeo NFS 客户端重传请求前的等待时间（单位为 0.1 秒）。建议值：600。 noresvport 指定 NFS 客户端向 NFS 服务端重新发起建立连接时使用新的 TCP 端口。强烈建议使用 noresvport 参数，这可以保障网络发生故障恢复事件后文件存储服务不会中断。 lock/nolock 选择是否使用 NLM 协议在服务器上锁文件。当选择 nolock 选项时，锁对于同一主机的应用有效，对不同主机不受锁的影响。建议值：nolock。如不加此参数，则默认为 lock，就会发生其他服务器无法对此文件存储写入的情况。ECX文件存储暂不支持非本地锁操作，需要显式添加 nolock 参数防止客户端调用非本地锁而导致抢锁失败的写入慢问题。 proto NFS 客户端向服务器发起传输请求使用的协议，可以为 UDP 或者 TCP。 挂载地址 文件存储的格式为：文件存储 ip:/ 路径，例如：192.168.0.10:/var/ecx/filenvmecv4lq0bkrj0lnj8u23n0。 本地路径 边缘虚拟机上用于挂载文件存储的本地路径，例如 “/localpath”。 注意 请将上述命令中的 “挂载地址” 替换为实际的文件存储 IP 地址及路径，将 “本地路径” 替换为在边缘虚拟机上创建的具体本地路径。 挂载文件存储时，更多性能调优的挂载参数，可参考更多参数配置，各参数之间以逗号进行分隔。例如： mount t nfs o vers3,timeo600,nolock,rsize1048576,wsize1048576,hard,retrans3,tcp,noresvport,ro,async,noatime,nodiratime 挂载地址 本地路径 更多参数 参数 说明 :: rsize 每次向服务器读取文件的最大字节数。实际数据小于或等于此值。rsize 必须是 1024 倍数的正整数，小于 1024 时自动设为 4096，大于 1048576 时自动设为 1048576。默认时，服务器和客户端进行协商后设置。建议设置为最大值 1048576。 wsize 每次向服务器写入文件的最大字节数。实际数据小于或等于此值。wsize 必须是 1024 倍数的正整数，小于 1024 时自动设为 4096，大于 1048576 时自动设为 1048576。默认时，服务器和客户端进行协商后设置。建议设置为最大值 1048576。 soft/hard 取值为 soft，即软挂载方式挂载系统，如果 NFS 请求超时，则客户端向调用程序返回错误；取值为 hard，即使用硬连接方式，如果 NFS 请求超时，则客户端一直重新请求直至成功。默认为 hard。 retrans 客户端返回错误前的重传次数。建议值：1。 tcp/udp 不指定 mountproto 时，客户端默认先尝试使用 udp 协议挂载，如果 udp 网络不通则会在卡顿几秒后再尝试 tcp 协议挂载。当前默认没有放通安全组入方向 mount 协议的 udp 端口号，需要将 mount 挂载协议设置为 TCP 传输协议，即 mountprototcp。 ro/rw ro：表示采用只读的方式挂载。rw：表示采用读写的方式挂载。默认为 rw。未写明 ro/rw 时，则默认为采用 rw 读写的方式挂载。 noresvport 指定 NFS 客户端向 NFS 服务端重新发起建立连接时使用新的 TCP 端口。强烈建议使用 noresvport 参数，这可以保障网络发生故障恢复事件后文件存储服务不会中断。 sync/async sync 为同步写入，表示将写入文件的数据立即写入服务端；async 为异步写入，表示将数据先写入缓存，再写入服务端。同步写入要求 NFS 服务器必须将每个数据都刷入服务端后，才可以返回成功，时延较高。建议设置为 async。 noatime 如果不需要记录文件的访问时间，可以设置该参数。避免频繁访问时，修改访问时间带来的开销。 nodiratime 如果不需要记录目录的访问时间，可以设置该参数。避免频繁访问时，修改访问时间带来的开销。 说明 没有 “使用建议” 的参数推荐使用默认参数。 5. 挂载完成后，执行如下命令，查看已挂载的文件存储。 mount l 如果回显包含如下类似信息，说明挂载成功。 挂载地址 on /localpath type nfs (rw,vers3,timeo600,nolock,addr) 6. 挂载成功后，用户可以在边缘虚拟机上访问文件存储，执行读取或写入操作。

适用于贵州/福州/杭州/深圳/广州4/苏州/郑州/青岛/西安2/上海4/芜湖/南宁/长沙2/南昌/成都3/乌鲁木齐/昆明/海口/重庆/武汉2/兰州/西宁/太原/石家庄/中卫/长春/天津/北京2/哈尔滨节点 1、对弹性ip进行解绑和批量解绑操作。 2、弹出解绑提醒框，并带有验证提示栏如下图， 3、点击去验证，跳转操作保护页面。如下图， 4、点击【免费获取验证码】，验证码会发送到天翼云账号预留手机号，填写正确的验证码，点击【认证】，弹出认证成功（失败）提示框。 5、认证成功自动跳转回弹性ip解绑弹窗界面，继续进行解绑操作。

参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机节点信息。

配置检测规则 1. 登录大模型安全卫士实例。 2. 在菜单栏选择“主机安全 > 风险账户检测”。 3. 选择“字典匹配”页签，新增自定义规则或使用内置弱口令规则。 风险账户检查 1. 登录大模型安全卫士实例。 2. 在菜单栏选择“主机安全 > 风险账户检测”。 3. 选择“风险账户检查”页签，选择检查范围及检查类型后，单击“立即检查”。 4. 如下图所示，可显示风险账户及弱口令检测结果。

监控Java应用需要先为Java应用安装Agent,您可以选择以手动方式或脚本方式安装Agent,本文介绍如何为Java应用手动安装Agent。 为Java应用手动安装Agent。 准备工作 1. DNS配置：上报域名为内网域名，需要在dns配置文件(/etc/resolv.conf)第一行加上 nameserver 100.95.0.1 才生效。 2. 检查VPC接入情况：使用agent前，需要先接入云主机所在的VPC网络。 下载Agent 各个资源池的下载地址都不一样，在接入应用面板的STEP1区域下载对应的Agent。 注意 javaagent目前仅支持JDK 8、11、17版本。 安装Agent 进入Agent压缩包所在目录并将其解压至任意工作目录下。 plaintext unzip ctyunArmsAgent.zip d /{user.workspace}/ “{user.workspace}”是示例路径，此处及以下均请根据具体环境替换为正确的路径 。 复制以下JVM参数，添加到应用服务的启动脚本中。 plaintext nohup java javaagent:/{user.workspace}/ctyunArmsAgent/ctyunArmsAgent.jar Dotel.resource.attributesservice.namemyservice Darms.licenseKeySgrpVvT0@14462p5oHbdZ Dotel.exporter.otlp.endpoint jar {jar.name}.jar & license.key和endpoint 是我们为您自动生成的。 service.name 是您的应用名称，请将 myservice 替换成您自己的应用名。 如需在同一台服务器为一个应用部署多个进程实例，则应在Dotel.resource.attributes内容中增加配置：instance.id逻辑实例名，使用逗号与其他配置隔开，如若无此配置，则多个进程实例数据将合并为同一个实例。 启动应用 请在重新启动您的应用，大约5分钟后Agent将会安装完毕。 结果验证 约5分钟后，若Java应用出现在应用列表页面中且有数据上报，则说明接入成功。

本小节介绍态势感知控制台功能。 控制台用来统计分析用户单位的资产情况、所面临的威胁情况、单位整体的安全态势评分、威胁资产、漏洞资产、威胁方、实时消息提示及威胁情报。 控制台首行数字贴：统计资产总量、高危漏洞资产、受攻击资产、失陷主机、勒索软件主机、恶意软件主机、漏洞利用主机、威胁总量。 安全态势评分：是系统基于当前单位的资产情况、漏洞情况、威胁情况量化出来的一个分值。 分值越高，表示系统安全系数越高。 系统的安全级别分为：优、良、中、差、危五个级别。 资产威胁排行：根据最近24小时的异常行为次数统计了风险资产的top5。 资产漏洞排行：根据最近24小时的漏洞数值统计了风险资产的top5。 威胁方排行：根据最近24小时的攻击情况，统计了威胁方top5。 实时地图、实时威胁：展示系统检测到的实时异常行为情况，攻击线表示威胁方针对资产的异常行为，箭头代表了攻击方向。 消息提示：展示系统产生的操作提示，高危漏洞、威胁等检测结果，动态滚动提示。 威胁情报：对接国家中心的威胁预警，包括漏洞公告、恶意代码通告等。 安全资讯：对接国家中心的安全态势报告，包括网络安全信息与动态周报、国家信息安全漏洞共享平台周报、CNCERT互联网安全威胁报告等。

请求示例 请求url /v4/monitor/querycustomevents?regionID81f7728662dd11ec810800155d307d5b&name异常&pageNo1&pageSize10 请求头header 无 请求体body 无 响应示例 json { "statusCode": 800, "errorCode":"", "message": "Success", "msgDesc": "成功", "returnObj": { "customEventList": [ { "regionID": "81f7728662dd11ec810800155d307d5b", "customEventID": "EVENTacd8b6b4610b97d202306301808", "name": "主机异常事件", "description": "用于描述主机在异常情况下被关闭的事件", "createTime": 1667815639000, "updateTime": 1667827659000 }, { "regionID": "81f7728662dd11ec810800155d307d5b", "customEventID": "EVENT2345b6b4210b97d202306301809", "name": "网络异常事件", "description": "用于描述网络出现故障的异常事件", "createTime": 1667824639000, "updateTime": 1667827639000 } ], "totalCount": 2, "totalPage": 1, "currentCount": 2 } } 状态码 状态码 描述 200 请求成功 错误码 errorCode 描述 其他 参见公共错误码说明

本章节主要介绍如何在已有物理机实例中手动安装Agent,实现主机监控。 您需要完成以下步骤： 1.添加域名解析地址：在物理机“/etc/resolv.conf”文件中添加各区域域名解析地址。 2.修改子网DNS地址：按物理机所在区域修改子网的DNS服务器地址。 3.配置安全组：用于下载Telescope包、发送指标数据、采集日志等。 此三步请参见内网DNS与安全组配置。 4.安装Agent：手动为物理机安装Agent，实现主机监控。 此步请参见安装Agent（Linux）。

可信云服务可以通过IAM委托的方式访问其他云服务的资源。可信实体为天翼云服务的IAM委托，包括普通云服务委托和云服务关联委托。本文介绍函数计算的服务内联委托。 什么是服务内联委托 在某些场景下，函数计算为了完成自身的某个功能，需要获取其他云服务的访问权限，因此，函数计算创建了与云服务内联委托，即服务内联委托CtyunServiceDelegateRoleForFC。函数计算支持CtyunServiceDelegateRoleForFC和FaaS函数的绑定，实现最小授权范围内授予函数访问其他云服务的权限。 使用函数计算时，系统提供的服务内联委托及其包含的系统权限策略如下： 服务内联委托：CtyunServiceDelegateRoleForFC 系统权限策略：CtyunServiceInlineDelegateRolePolicyForFC CtyunServiceDelegateRoleForFC 服务内联委托CtyunServiceDelegateRoleForFC可以获取访函数列表、函数详情、创建函数、删除函数、更新函数以及调用函数的权限。 服务内联委托CtyunServiceDelegateRoleForFC被授予权限策略CtyunServiceInlineDelegateRolePolicyForFC，该权限策略的内容如下。 json { "Version": "1", "Statement": [ { "Action": [ "cf:inst:CreateFunction", "cf:inst:UpdateFunction", "cf:inst:ListFunction", "cf:inst:GetFunction", "cf:inst:InvokeFunction", "cf:inst:DeleteFunction" ], "Resource": "", "Effect": "Allow" } ] } 以下是使用函数计算时，需要创建和使用服务内联委托的场景： 为函数计算配置专有网络VPC、交换机或弹性网卡等，提升数据安全性，实现VPC内的网络互通。 访问容器镜像仓库拉取镜像创建容器镜像函数，能够利用容器镜像资源灵活部署函数。 配置消息队列或事件总线等消息服务的访问权限，使用函数计算监听消息源的事件。当有新的消息或事件产生时，可以直接触发函数执行，实现事件驱动的计算模型。 配置日志服务相关权限，允许自动收集函数执行日志，便于日志的搜索、分析和可视化展示，帮助用户快速定位问题。

获取挂载信息 1. 登录控制台后，进入块空间管理列表，找到需要查看详细信息的块空间，点击【查看】按钮，即可查询该块空间的详细信息。 2. 点击后，弹窗展示相关信息，以供块空间挂载配置使用。 挂载 根据不同的操作系统，可参考如下的挂载说明： Linux主机挂载 。 Windows主机挂载 。

本章介绍弹性文件服务的退订说明。 如果您有退订文件系统的需求，可以进行登录天翼云订单管理中心 或产品控制台 进行退订操作。天翼云目前支持7天无理由全额退订和非七天无理由退订以及其他退订，详细规则请参考退订规则说明 。 操作流程可参考删除按量付费文件系统和退订包年包月文件系统。

本章节主要介绍ALM12046 网络写包丢包率超过阈值。 系统每30秒周期性检测网络写包丢包率，并把实际丢包率和阈值（系统默认阈值0.5%）进行比较，当检测到网络写包丢包率连续多次（默认值为5）超过阈值时产生该告警。 用户可通过“运维 > 告警 > 阈值设置 > 待操作集群的名称 > 主机 > 网络写信息 > 写包丢包率”修改阈值。 平滑次数为1，网络写包丢包率小于或等于阈值时，告警恢复；平滑次数大于1，网络写包丢包率小于或等于阈值的90%时，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 12046 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群或系统名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 网口名 产生告警的网口名。 Trigger Condition 系统当前指标取值满足自定义的告警设置条件。 对系统的影响 业务性能下降或者个别业务出现超时问题。 可能原因 告警阈值配置不合理。 网络环境质量差。 处理步骤 检查阈值设置是否合理 1.在FusionInsight Manager，选择“运维 > 告警 > 阈值设置 > 待操作集群的名称 > 主机 > 网络写信息 > 写包丢包率”，查看该告警阈值是否合理（默认0.5%为合理值，用户可以根据自己的实际需求调节）。 是，执行步骤4。 否，执行步骤2。 2.根据实际服务的使用情况在“运维 > 告警 > 阈值设置 > 待操作集群的名称 > 主机 > 网络写信息 > 写包丢包率”，单击“操作”列的“修改”更改告警阈值。 如下图所示： 3.等待5分钟，检查该告警是否恢复。 是，处理完毕。 否，执行步骤 4。

此小节介绍如何进行用户管理。 云堡垒机系统具备集中管理用户功能，创建一个用户即创建一个云堡垒机系统的登录帐号。系统管理员admin是系统默认用户，为系统第一个可登录用户，拥有系统最高操作权限，且无法删除和更改权限配置。 用户概述 根据用户角色的不同，用户拥有不同的系统操作权限。 根据用户组的划分，可批量为同组用户授予资源运维的权限。 仅系统管理员admin或拥有“用户”模块权限的用户，可管理系统用户，包括新建用户、批量导入用户、批量导出用户、重置用户帐号密码、移动用户部门、更改用户角色、加入用户组、配置用户登录权限、启用、禁用、批量管理用户等操作。 用户管理 新建用户并授权用户角色 云堡垒机系统的一个用户代表一个可登录自然人，支持新建本地用户，批量导入用户，以及同步AD域用户。 系统管理员admin是系统最高权限用户，也是系统第一个可登录用户。 约束限制 为用户配置“所属部门”为上级部门时，当前用户的角色需拥有管理权限，否则会配置失败。修改用户角色管理权限，请参见：查询和修改角色信息。 前提条件 新建单个用户和批量导入用户，需已获取“用户”模块操作权限。 同步AD域用户，需已获取“系统”模块操作权限。 新建单个用户 1. 登录云堡垒机系统。 2. 在左侧导航树中，选择“用户 > 用户管理”，进入用户列表页面。 3. 在界面的右上角，单击“新建”，弹出用户信息配置窗口。 新建用户参数说明 参数 说明 :: 登录名 自定义登录系统的用户名。 创建后不可修改，且系统内“登录名”唯一不能重复。 认证类型 选择登录系统的认证方式。 本地：系统默认方式，即通过系统自身的帐号管理系统进行身份认证。 AD域：通过Windows AD域服务器对用户进行身份认证。 LDAP：通过LDAP协议，由第三方认证服务器对用户进行身份认证。 RADIUS：通过RADIUS协议，由第三方认证服务器对用户进行身份认证。 Azure AD：基于SAML配置，由Azure平台对登录用户进行身份认证。 若需启用AD域、LDAP、RADIUS、Azure AD远程认证方式的用户，需先在系统配置远程认证服务器信息，详细操作请参见：远程认证管理。 域名 “认证类型”选择“Azure AD”时，需要配置此项。 需输入在Azure平台用户注册时的后缀。 密码/确认密码 仅“认证类型”选择“本地”时，需要配置用户登录系统的密码。 可自定义生成密码，也可随机生成密码。 认证服务器 仅“认证类型”选择“AD域”和“LDAP”时，需要选择服务器名称。 姓名 自定义用户姓名。 用户帐号使用人员的姓名，便于区分不同的用户。 手机 输入手机号码。 用户帐号系统预留手机号码，用于手机短信登录或找回密码。 邮箱 输入邮箱地址。 用户帐号系统预留邮箱地址，用于通过邮箱接收系统消息通知。 角色 选择用户的角色，一个用户仅能配置一个角色。 缺省情况下，系统角色包括部门管理员、策略管理员、审计管理员和运维员。 部门管理员：负责部门管理，除“用户管理”和“角色管理”模块之外，部门管理员拥有其他全部模块的配置权限。 策略管理员：负责策略权限的配置，拥有“用户组管理”、“资源组管理”和“访问策略管理”等模块的配置权限。 审计管理员：负责系统和运维数据的审计，拥有“实时会话”、“历史会话”和“系统日志”等模块的配置权限。 运维员：系统普通用户和资源操作人员，拥有“主机运维”、“应用运维”和“授权工单”模块的操作访问权限。 自定义的角色：仅admin可自定义新角色或编辑默认角色的权限范围，详细介绍请见：角色管理。 所属部门 选择用户所属部门组织。如何创建系统部门，请参见：系统部门。 用户描述 （可选）对用户情况的简要描述。 4. 单击“确定”，返回用户列表，即可查看和管理新建的用户。