下载SDK 在天翼云官网下载xosgosdk.zip，下载地址： xosgosdk.zip 获取访问密钥 AccessKey（AK）和SecretAccessKey（SK）是用户访问媒体存储服务的密钥，密钥的管理和获取方式请查阅 天翼云媒体存储 密钥管理 。 获取Endpoint EndPoint的获取方式请查阅天翼云媒体存储 基础信息查看。 创建工程 下面过程以实现列出媒体存储服务中的bucket功能为例，说明了如何使用媒体存储gosdk进行应用开发。 1. 初始化go mod 新建一个项目文件夹gosdkdemo，在该文件夹路径下执行命令go mod init {moduleName}生成go.mod文件，例如： go mod init sdkdemo 2. 导入sdk代码 将下载的媒体存储gosdk代码解压，获得vendor文件夹。在项目文件夹下执行命令导入依赖： go mod edit requiregithub.com/aws/awssdkgo@v1.35.5 执行命令将依赖替换为本地包： go mod edit replacegithub.com/aws/awssdkgo@v1.35.5{path of vendor}/github.com/aws/awssdkgo 其中{path of vendor}是vendor文件夹在本地的路径，例如： go mod edit replacegithub.com/aws/awssdkgo@v1.35.5C:/Users/admin/Desktop/vendor/github.com/aws/awssdkgo 下载sdk所需依赖： go mod download github.com/jmespath/gojmespath 3. 新建一个demo.go文件，其内容为： plaintext package main import ( "fmt" "github.com/aws/awssdkgo/aws" "github.com/aws/awssdkgo/aws/credentials" "github.com/aws/awssdkgo/aws/session" "github.com/aws/awssdkgo/service/s3" ) ​ const ( Endpoint " " AccessKey " " SecretAccessKey " " ) ​ func BuildClient() s3.S3 { conf : &aws.Config{ Endpoint: aws.String(Endpoint), S3ForcePathStyle: aws.Bool(false), DisableSSL: aws.Bool(true), Credentials: credentials.NewStaticCredentials(AccessKey, SecretAccessKey, ""), LogLevel: aws.LogLevel(aws.LogDebug)} sess : session.Must(session.NewSessionWithOptions(session.Options{Config: conf})) svc : s3.New(sess) return svc } ​ func main() { svc : BuildClient() result, err : svc.ListBuckets(&s3.ListBucketsInput{}) if err ! nil { fmt.Printf("fail to list buckets. %vn", err) } else { fmt.Println(result) } } 4. 执行命令以下运行程序并查看结果。 plaintext go mod tidy go mod vendor go run ./demo.go 整个项目的内容层次如下： gosdkdemo/ ├── demo.go ├── go.mod ├── go.sum └── vendor

本章节主要介绍如何下载Linux gsql客户端。 DWS 提供了与集群版本配套的客户端工具包，用户可以在DWS 管理控制台下载客户端工具包。 客户端工具包包含以下内容： 数据库连接工具Linux gsql和测试样例数据的脚本 Linux gsql是一款运行在Linux环境上的命令行客户端，用于连接DWS 集群中的数据库。 测试样例数据的脚本是执行入门示例时用的。 Windows版本gsql Windows gsql是一款运行在Windows环境上的命令行客户端，用于连接DWS 集群中的数据库。 说明 仅8.1.3.101及以上版本支持在console控制台下载。 GDS工具包 GDS工具包是数据服务工具。用户可以使用GDS工具将普通文件系统中的数据文件导入到DWS 数据库中，GDS工具包需要安装在数据源文件所在的服务器上。数据源文件所在的服务器称为数据服务器，也称为GDS服务器。 下载客户端 1. 登录DWS 管理控制台，详情请参见 集群配置章节中的 登录DWS管理控制台。 2. 在左侧导航栏中，单击“连接管理”。 3. 在“gsql命令行客户端”的下拉列表中，选择对应版本的DWS 客户端。 请根据集群版本和安装客户端的操作系统，选择对应版本。 “Redhat x8664”客户端工具支持在以下系统中使用： RHEL 6.4~7.6 CentOS 6.4~7.4 EulerOS 2.3 “SUSE x8664”客户端工具支持在以下系统中使用： SLES 11.1~11.4 SLES 12.0~12.3 “Euler Kunpeng64”客户端工具支持在以下系统中使用： EulerOS 2.8 “RedhatKunpeng64”客户端工具支持在以下系统中使用： CentOS 7.5,7.6 NeoKylin 7.6 “Microsoft Windows”客户端工具支持在以下系统中使用： Windows 7及以上 Windows Server 2008及以上 4. 单击“下载”可以下载与现有集群版本匹配的gsql。单击“历史版本”可根据集群版本下载相应版本的gsql。 如果同时拥有不同版本的集群，单击“下载”时会下载与集群最低版本相对应的客户端工具。如果当前没有集群，单击“下载”时将下载到低版本的客户端工具。DWS 集群可向下兼容低版本的客户端工具。 下表列出了下载的Linux gsql工具包中的文件和文件夹。 Linux gsql工具包目录及文件说明 文件或文件夹 说明 bin 该文件夹中包含了gsql在Linux中的可执行文件。其中包含了gsql客户端工具、GDS并行数据加载工具以及gsdump、gsdumpall和gsrestore工具。 gds 该文件夹中包括了GDS数据服务工具的相关文件，GDS工具用于并行数据加载，可将存储在普通文件系统中的数据文件导入到DWS数据库中。 lib 该文件夹中包括执行gsql所需依赖的lib库。 sample 该文件夹中包含了以下目录或文件： setup.sh：在使用gsql导入样例数据前所需执行的配置AK/SK访问密钥的脚本文件。 tpcdsloaddatafromobs.sql：使用gsql客户端导入TPCDS样例数据的脚本文件。 querysql目录：查询TPCDS样例数据的脚本文件。 gsqlenv.sh 在运行gsql前，配置环境变量的脚本文件。 下表列出了下载的Windows gsql工具包中的文件和文件夹。 Windows gsql工具包目录及文件说明 文件或文件夹 说明 x64 该文件夹中包含了64位Windows gsql执行二进制和动态库。 x86 该文件夹中包含了32位Windows gsql执行二进制和动态库。 在“集群管理”页面的集群列表中，单击指定集群的名称，再选择“集群详情”页签，可查看集群版本。

漏洞描述 polkit是一个在类 Unix操作系统中控制系统范围权限的组件。通过定义和审核权限规则，实现不同优先级进程间的通讯。 polkit存在本地权限提升漏洞，由于pkexec无法正确处理调用参数计数，攻击者可利用该漏洞通过精心设计环境变量诱导pkexec执行任意代码，具有低权限的攻击者可以利用此漏洞绕过pkexec自带的安全保护措施，获取目标机器的ROOT权限。 基本信息 · CVE编号：CVE20214034 · 漏洞类型：本地提权 · 危险等级：高危 · 检测方式：版本对比 · 是否加入全局：是 · 公布时间： 20220125 · 风险特征：存在EXP本地提权 · CVSS评分： 7 · CVSS详情： AV:L/AC:L/Au:N/C:C/I:C/A:C 漏洞利用链接 修复建议 将漏洞检测结果中的软件包升级到对应漏洞修复版本及以上，补丁修复可能存在docker网络断开风险，修复需谨慎，建议测试验证无误后进行升级操作。 参照安全补丁功能中该漏洞的修复命令进行升级，或者参照以下修复命令进行升级： CentOS/RedHat/Oracle Linux : sudo yum update y 需要升级的软件包名(参考检测结果) SUSE : sudo zypper update y 需要升级的软件包名(参考检测结果) Ubuntu/Debian : sudo aptget update && sudo aptget install onlyupgrade y 需要升级的软件包名(参考检测结果) 例：若漏洞的检测结果中主机系统为CentOS 7，软件包名称为 polkit，当前安装版本为 0.11226.el7，对应漏洞修复版本为 0.11226.el79.1，则漏洞修复命令为 sudo yum update y polkit

集群内节点安装客户端 1. 获取软件包。 访问FusionInsightManager（MRS3.x及之后版本），在“集群”下拉列表中单击需要操作的集群名称。 选择“更多 > 下载客户端”，弹出“下载集群客户端”信息提示框。 详见下图：下载客户端 说明 在只安装单个服务的客户端的场景中，选择“集群 > 服务 > 服务名称 > 更多 > 下载客户端”，弹出“下载客户端”信息提示框。 2. “选择客户端类型”中选择“完整客户端”。 “仅配置文件”下载的客户端配置文件，适用于应用开发任务中，完整客户端已下载并安装后，管理员通过Manager界面修改了服务端配置，开发人员需要更新客户端配置文件的场景。 平台类型包括x8664和aarch64两种： −x8664：可以部署在X86平台的客户端软件包。 −aarch64：可以部署在TaiShan服务器的客户端软件包。 说明 集群支持下载x8664和aarch64两种类型客户端，但是客户端类型必须与待安装节点的架构匹配，否则客户端会安装失败。 3. 勾选“仅保存到如下路径”，单击“确定”开始生成客户端文件。 文件生成后默认保存在主管理节点“/tmp/FusionInsightClient”。支持自定义其他目录且omm用户拥有目录的读、写与执行权限。单击“确定”，等待下载完成后，使用omm用户或root用户将获取的软件包复制到将要安装客户端的服务器文件目录。 客户端软件包名称格式为：“FusionInsightCluster ServicesClient.tar”。 后续步骤及章节以FusionInsightCluster1ServicesClient.tar进行举例。 说明 当用户无法获取root用户权限，需要用omm用户操作。 如需安装客户端至集群内其他节点，则执行以下命令复制客户端到待安装客户端的节点： scp p / tmp/FusionInsightClient /FusionInsightCluster1ServicesClient.tar待安装客户端节点的IP地址:/opt/Bigdata/client 4. 以userclient用户登录将要安装客户端的服务器。 5. 解压软件包。 进入安装包所在目录，例如“/tmp/FusionInsightClient”。执行如下命令解压安装包到本地目录。 tar xvf FusionInsightCluster1ServicesClient.tar 6. 校验软件包。 执行sha256sum命令校验解压得到的文件，检查回显信息与sha256文件里面的内容是否一致，例如： sha256sum c FusionInsightCluster1ServicesClientConfig.tar.sha256 FusionInsightCluster1ServicesClientConfig.tar:OK 7. 解压获取的安装文件。 tar xvf FusionInsightCluster1ServicesClientConfig.tar 8. 进入安装包所在目录，执行如下命令安装客户端到指定目录（绝对路径），例如安装到“/opt/client”目录。 cd /tmp/FusionInsightClient/FusionInsightCluster1ServicesClientConfig 执行./install.sh /opt/client命令，等待客户端安装完成（以下只显示部分屏显结果）。 Thecomponent client is installed successfully 说明 如果已经安装的全部服务或某个服务的客户端使用了“/opt/client”目录，再安装其他服务的客户端时，需要使用不同的目录。 卸载客户端请删除客户端安装目录。 如果要求安装后的客户端仅能被该安装用户（如“userclient”）使用，请在安装时加“o”参数，即执行./install.sh /opt/client o命令安装客户端。 由于HBase使用的Ruby语法限制，如果安装的客户端中包含了HBase客户端，建议客户端安装目录路径只包含大写字母、小写字母、数字以及?.@+字符。

本小节介绍域名无忧应用场景。 长久以来，域名劫持事件频繁发生，受影响的企业遭受到经济和名誉的双重损失，无数网民也深受其害。大多数域名劫持事件的影响持续数个小时或更久，但是真正的故障时间并没有那么长。不过，由于各层服务器缓存受到根服务器影响，在电信运营商没有对递归DNS手动刷新的情况下，影响可持续数个小时。 域名实施监控场景 DNS污染的数据包并不是在网络数据包经过的路由器上，而是在其旁路产生的。所以DNS污染并无法阻止正确的DNS解析结果返回，但由于旁路产生的数据包发回速度较国外DNS服务器发回速度快，操作系统认为第一个收到的数据包就是返回结果，从而忽略其后收到的数据包，从而使得DNS污染得逞。天翼云域名无忧会实时监控域名的解析结果与预设置的解析结果进行比对，如果检测到域名异常，则生成域名告警信息。 域名一键刷新场景 网域的局域域名服务器的缓存受到污染，就会把网域内的域名引往错误的服务器或服务器的网址，导致正确域名无法访问，给企业或个人带来不可估量的损失。天翼云域名无忧可以有效解决此问题，天翼云域名无忧实时监控电信所有省份DNS服务的解析结果，用户发现DNS解析异常，可以手动执行域名刷新操作，使域名快速恢复至可用状态。

状态 说明 初始化 系统初始化 SSH检查中 SSH校验 下载中 下载Agent安装包 上传中 上传Agent安装包 安装中 安装部署Agent服务 安装成功 Agent安装成功离线 Agent安装成功在线

本节主要介绍弹性文件服务包含哪些文件系统类型。 弹性文件服务提供SFS容量型和SFS Turbo两种类型的文件系统。 以下表格介绍了各类型文件系统的特点、优势及应用场景。 SFS容量型 参数 说明 最大带宽 2GB/s 最高IOPS 2K 时延 3~20ms 最大容量 4PB 优势 大容量、高带宽、低成本 应用场景 大容量扩展以及成本敏感型业务，如媒体处理、文件共享、HPC、数据备份等。 说明 时延是指低负载情况下的最低延迟，非稳定时延。 10MB以上为大文件，1MB以上为大IO。 SFS TURBO SFS Turbo文件系统新规格 参数 20MB/s/TiB 40MB/s /TiB 125MB/s /TiB 250MB/s /TiB 500MB/s /TiB 1000MB/s/TiB 最大带宽 8GB/s 8GB/s 20GB/s 20GB/s 80GB/s 80GB/s 最大IOPS 25万 25万 100万 100万 100万 100万 平均单路4K延迟 25ms 25ms 13ms 13ms 13ms 13ms 容量 3.6TB1PB 1.2TB1PB 1.2TB1PB 1.2TB1PB 1.2TB1PB 1.2TB1PB 介质类型 HDD HDD SSD SSD ESSD ESSD 优势 大容量、低成本 大容量、低成本 低时延、高性价比 低时延、高性价比 高IOPS、性能高密 高IOPS、性能高密 典型应用场景 日志存储、文件共享、内容管理、网站等 日志存储、文件共享、内容管理、网站等 AI训练、自动驾驶、EDA仿真、渲染、企业NAS应用、高性能web应用等 AI训练、自动驾驶、EDA仿真、渲染、企业NAS应用、高性能web应用等 大规模AI训练、AI大模型、AIGC等 大规模AI训练、AI大模型、AIGC等 说明 SFS Turbo新规格的性能与购买的容量大小成正比。购买SFS Turbo文件系统的容量越大，该SFS Turbo所能够提供的带宽也越大。根据每1TiB容量所能提供带宽的区别，SFS Turbo实例分为多个规格，分别为：20MB/s/TiB，40MB/s/TiB，125MB/s/TiB，250MB/s/TiB，500MB/s/TiB，1000MB/s/TiB。 例如，购买6TiB容量的SFS Turbo文件系统，规格为250MB/s/TiB，则该SFS Turbo能提供的带宽为：250 6 1500MB/s。 SFS Turbo最小带宽为150M/s。当计算出来的带宽小于150M/s时，SFS Turbo带宽以最小带宽150M/s计算。由于不同规格架构的限制，每个规格都有一个最大带宽。当计算出来的SFS Turbo带宽大于最大带宽时，SFS Turbo带宽以最大带宽计算。

本节介绍了管理虚拟IP地址的操作场景、操作步骤。 操作场景 虚拟IP地址用于为网卡提供第二个IP地址，同时支持与多个弹性云主机的网卡绑定，从而实现多个弹性云主机之间的高可用性。 操作步骤 1. 登录管理控制台。 2. 选择“计算 > 弹性云主机”。 3. 在弹性云主机列表中，单击待绑定虚拟IP地址的弹性云主机名称。系统跳转至该弹性云主机详情页面。 4. 选择“网卡”页签，单击“管理虚拟IP地址”。 5. 选择“IP地址管理”页签，在需要绑定弹性公网IP或者弹性云主机的虚拟IP地址所在行的操作列下，单击“绑定弹性公网IP”或者“绑定弹性云主机”。 6. 多个主备部署的弹性云主机可以在绑定虚拟IP地址时选择同一个虚拟IP地址，增强容灾性能。 7. 单击“确定”。 为已绑定虚拟IP的弹性云主机手工配置虚拟IP地址。 弹性云主机的网卡绑定虚拟IP地址后，需要在弹性云主机上手工配置虚拟IP地址。 Linux系统（本文以“CentOS 7.2 64bit”为例，其他规格请参考对应官网帮助文档） a. 执行以下命令，查看并记录需要绑定虚拟IP的网卡及对应连接。 nmcli connection 回显类似如下信息： 本示例的回显信息说明如下： DEVICE列的eth0为需要绑定虚拟IP的网卡。 NAME列的Wired connection 1为网卡对应的连接。 b. 执行以下命令，在目标连接中添加虚拟IP。 nmcli connection modify "CONNECTION" ipv4.addresses VIP 参数说明如下： CONNECTION：为7.a中查到的网卡对应的连接。 VIP：待添加的虚拟IP地址。 n 如果一次添加多个虚拟IP地址，多个虚拟IP地址之间用“,”隔开。 n 如果已有虚拟IP地址，此时还需要新增虚拟IP地址，那么命令中除了包含新的虚拟IP地址，也需要包含原有虚拟IP地址。 命令示例： 添加单个虚拟IP：nmcli connection modify "Wired connection 1" ipv4.addresses 172.16.0.125 添加多个虚拟IP：nmcli connection modify "Wired connection 1" ipv4.addresses 172.16.0.125,172.16.0.126 c. 执行以下命令，使7.b的配置生效。 nmcli connection up "CONNECTION" 命令示例： nmcli connection up "Wired connection 1" 回显类似如下信息： d. 执行以下命令，检查虚拟IP配置是否成功。 ip a 回显类似如下信息，可以看到eth0网卡下存在虚拟IP地址，为172.16.0.125。 Windows系统（本文以“Windows Server”为例） a. 在“控制面板 > 网络和共享中心”路径下，单击对应的本地连接。 b. 在打开的本地连接页面中，单击“属性”。 c. 在“网络”页签中选择“Internet 协议版本 4 （TCP/IPv4）”。 d. 单击“属性”。 e. 选择“使用下面的IP地址”，IP地址配置为弹性云主机的私有IP地址，例如：10.0.0.101。 配置私有IP地址 f. 单击“高级”。 g. 在“IP设置”页签内“IP地址”区域，单击“添加”。 添加虚拟IP地址，例如：10.0.0.154。 配置虚拟IP地址 h. 单击“确定”，保存更改。 i. 在“开始”菜单中打开Windows命令行窗口，执行以下命令确认是否配置了虚拟IP地址。 ipconfig /all 回显样例中IPv4 Address包含虚拟IP地址10.0.0.154，表示弹性云主机内部网卡的虚拟IP地址配置正常。

注解名称 描述 示例 支持的CCM版本 service.beta.kubernetes.io/ctyunloadbalancerid 指定已有负载均衡，取值为负载均衡实例的ID。删除service时该 ELB不会被删除 lb v1.0.1及以上 service.beta.kubernetes.io/ctyunloadbalancerspec 指定新建负载均衡的规格，如elb.s2.small elb.s2.small v1.0.1及以上 service.beta.kubernetes.io/ctyunloadbalanceraddresstype 指定新建负载均衡的公网私网类型，取值： intranet：负载均衡地址类型为私网，intranet为默认值 internet：负载均衡地址类型为公网 internet v1.0.1及以上 service.beta.kubernetes.io/ctyunloadbalancerprotocolport 指定负载均衡监听HTTP协议或HTTPS协议，可指定多个监听，多个监听之间以逗号“,”分割 https:443,http:80 v1.0.4及以上 service.beta.kubernetes.io/ctyunloadbalancersslcert 指定SSL证书，取值为SSL证书ID，可在负载均衡控制台的证书管理页面查看证书ID。 仅监听协议为HTTPS协议时需要指定 cert v1.0.4及以上 service.beta.kubernetes.io/ctyunloadbalancerxforwardedfor 指定负载均衡监听器附加XForwardedFor头字段，通过开启该参数，后端服务可获取客户端源IP。取值为“true”或“false” 仅支持监听协议为HTTP和HTTPS协议 "true" v1.0.4及以上 service.beta.kubernetes.io/ctyunloadbalancerchargetype 指定创建公网负载均衡时，公网的计费类型，取值： bandwidth：按带宽计费 traffic：按流量计费，traffic为默认值 traffic v1.0.5及以上 service.beta.kubernetes.io/ctyunloadbalancerbandwidth 计费类型为“bandwidth”时，可指定带宽的大小，值为数字类型，默认为1 Mbps 5 v1.0.5及以上 service.beta.kubernetes.io/ctyunloadbalancercyclecount 指定负载均衡的计费周期，值为数字类型，表示购买月数，默认为1个月 1 v1.0.5及以上 service.beta.kubernetes.io/ctyunloadbalancereipid 指定新建公网负载均衡时，可指定绑定已有的弹性IP，取值为弹性IP的ID，可在网络控制台的弹性IP详情页面查看ID eip v1.0.5及以上 service.beta.kubernetes.io/ctyunloadbalancerprojectid 指定新建负载均衡所属的企业项目，取值为企业项目ID，可在IAM控制台中企业项目详情查看ID 0 v1.0.5及以上 service.beta.kubernetes.io/ctyunloadbalancerenableipv6 指定新建负载均衡时，可指定开启负载均衡的ipv6 "true" v1.0.7及以上 service.beta.kubernetes.io/ctyunloadbalanceripv6bandwidthid 指定新建支持ipv6的公网负载均衡时，需指定IPv6带宽ID，可在网络控制台的IPv6带宽详情页面查看ID。如果没有IPv6带宽，请先创建一个 v1.0.7及以上 service.beta.kubernetes.io/ctyunloadbalancerenablelistenernat64 指定支持ipv6的负载均衡时，可指定开启监听器的nat64，支持负载均衡将ipv6流量转发到ipv4的后端 "true" v1.0.7及以上 service.beta.kubernetes.io/ctyunloadbalanceripv6address 指定新建支持ipv6的负载均衡时，可指定负载均衡的ipv6地址（该地址为负载均衡所在子网的ipv6地址段中未被分配的ip），未指定则由系统随机分配 v1.0.7及以上 service.beta.kubernetes.io/ctyunloadbalanceroverridelisteners 指定已有负载均衡时，可指定是否强制覆盖已有监听 "true" v1.0.7及以上 service.beta.kubernetes.io/ctyunloadbalancerhealthcheckflag 健康检查开关，取值off或on。off：不启用；on：启用 on v1.0.8及以上 service.beta.kubernetes.io/ctyunloadbalancerhealthcheckoption 配置全局健康检查的选项，对service下所有端口配置起作用。内容为json类型数据，数据结构见下表“健康检查字段数据结构说明” 注意 使用该字段，需确保service下端口配置的protocol协议一致 v1.0.8及以上 service.beta.kubernetes.io/ctyunloadbalancerhealthcheckoptions 配置健康检查的选项，支持为service下单个端口或部分端口配置健康检查。内容为数组形式的json数据，数据结构参考表“健康检查字段数据结构说明” 注意 该字段不能与“service.beta.kubernetes.io/ctyunloadbalancerhealthcheckoption”同时使用 v1.0.8及以上 service.beta.kubernetes.io/ctyunloadbalanceraclflag 指定访问控制的类型，取值： inherit：继承已有ELB配置； all：允许所有IP访问； white：白名单； black：黑名单 white v1.0.8及以上 service.beta.kubernetes.io/ctyunloadbalanceraclstatus 访问控制开关，值为on或off，只有为on时，黑/白名单才会生效 on v1.0.8及以上 service.beta.kubernetes.io/ctyunloadbalanceraclid 指定访问策略组的ID，可在负载均衡控制台的访问策略组页面查看策略ID ac v1.0.8及以上 service.beta.kubernetes.io/ctyunloadbalancerestablishtimeout 指定建立连接超时时间，只用于TCP监听 "30" v1.0.8及以上 service.beta.kubernetes.io/ctyunloadbalanceridletimeout 指定空闲超时时间，只作用于HTTP/HTTPS监听 "30" v1.0.8及以上 service.beta.kubernetes.io/ctyunloadbalancerresponsetimeout 指定响应超时时间，只作用于HTTP/HTTPS监听 "5" v1.0.8及以上 service.beta.kubernetes.io/ctyunloadbalancerproxyprotocolflag 指定是否开启后端主机组的Proxy Protocol，ProxyProtocol协议会携带客户端源地址到后端服务器。取值： on：开启 off：关闭 注意 该功能不支持在线平滑开启，切换到ProxyProtocol需要业务停服升级，请谨慎配置。 on v1.1.1及以上 service.beta.kubernetes.io/ctyunloadbalanceripmode 指定Service的External IP模式，值为 vip 或 proxy vip：集群内访问Service不会经过ELB，直接经由ipvs/iptables转发到Service对应的后端Pod proxy：集群内访问Service会先经过ELB，最终再转发到对应后端Pod 注意 该特性要求Kubernetes集群版本大于v1.29 proxy v1.2.0及以上 service.beta.kubernetes.io/ctyunloadbalanceriptype 指定Service的External IP地址类型，值为 private 或 public private：设置ELB的私网IP为Service的External IP public：设置ELB的公网IP为Service的External IP public v1.2.0及以上 service.beta.kubernetes.io/ctyunloadbalancerpreservesourceip 指定是否开启客户端源地址保持，值为 true 或 false true：开启 false：关闭 注意 客户端源地址保持要求Service的ExternalTrafficPolicy必须为Local。开启该特性，需确保集群节点的弹性网卡对应的安全组已放通客户端源IP，避免影响网络连通 true v1.5.0及以上

本文主要介绍管理JMeter测试报告 测试报告说明 JMeter测试报告提供实时、离线两种类型的测试报告，供用户随时查看和分析测试数据。 JMeter测试报告说明如下表所示。 测试报告展现了测试过程中被测系统在模拟高并发用户的响应性能，为了更好阅读测试报告，请参考以下信息： 统计维度： 测试报告的TPS、RPS、响应时间、并发等统计维度均为单个线程组，如线程组中有请求多个报文，只有在多个请求报文均正常返回会认为成功，响应时间也是多个请求报文的求和值。 响应超时： 出现该情况是在设置的响应超时时间内（Jmx自定义），对应的TCP连接中没有响应数据返回时，会将本次线程组请求统计为响应超时。出现原因一般是被测服务器繁忙、崩溃、网络带宽被占满等。 校验失败： 从服务器返回的响应报文不符合预期（针对HTTP/HTTPS默认的预期响应码为200），比如服务器返回404、502等。出现原因一般为高并发情况下被测服务无法正常处理导致的，如分布式系统中数据库出现瓶颈、后端应用返回错误等。 带宽统计： 本报告统计的是性能测试服务执行端的带宽，上行表示从性能测试服务发出的流量，下行表示接收到的流量。如果是外网压测场景，您需要关注执行机的EIP带宽是否可以满足上行带宽的要求。而下行带宽需要关注单台执行机是否超过1GB。 TPS： TPS是指云性能测试服务在统计周期内每秒从被测服务器获取到的响应用例实时统计，TPS统计周期内的正常返回数/统计周期。 RPS： RPS是指云性能测试服务在统计周期内每秒发送到被测服务器的请求数实时统计，RPS统计周期内发送的请求数/统计周期。 如何判断被测应用优劣： 根据应用本身的服务质量定义，理想状态是没有任何响应失败、校验失败的情况，如果有，需要在服务质量定义范围之内，通常情况下不超过1%，同时响应时间越低越好（2s内体验较好，5s内可以接受，超过5s则需要考虑优化），TP90、TP99指标可以客观反映出90%、99%用户的体验响应时间。 JMeter测试报告说明 概念 解释 各项指标总量 所有线程组各项指标总量的汇总。 最大并发：最大并发操作的虚拟用户数。 RPS：RPS请求总数/响应总时长。 正常返回：如设置了检查点，检查点通过的事务响应数，如未设置默认为返回2XX的事务响应数。 响应时间：指从客户端发一个请求开始计时，到客户端接收到从服务器端返回的响应结果结束所经历的时间。 响应码：记录压测任务进行中响应码分布的情况。 带宽：记录压测任务运行所消耗的实时带宽变化。 异常返回：解析失败、校验失败、响应超时、3XX、4XX、5XX、连接被拒绝的事务响应数。 SLA事件：SLA中定义的事件发生情况。 平均RPS 是指性能测试在统计周期内每秒发送到被测服务器的请求数实时统计，RPS统计周期内发送的请求数/统计周期。 平均RT 记录压测任务平均响应时间的变化。 并发数 记录压测任务运行时，当前并发操作的虚拟用户数的变化。 带宽（KB/S） 记录压测任务运行所消耗的实时带宽变化。 上行带宽：从JMeter测试执行机往外发送出去数据的速度。 下行带宽：JMeter测试执行机接收到数据的速度。 响应状态分布 正常返回、解析失败、校验失败、响应超时的每秒处理事务数，该项指标与思考时间、并发用户、服务器响应能力均有关，比如思考时间为500ms，如果服务器对于当前用户的上个请求响应时间小于500ms，则该用户每秒请求2次。 正常返回：如设置了检查点，检查点通过的事务响应数，如未设置默认为返回2XX的事务响应数。 异常返回：解析失败、校验失败、响应超时、3XX、4XX、5XX、连接被拒绝的用例响应数。 解析失败：HTTP响应无法被正常解析的数量。l校验失败：如设置了检查点，检查点未通过的事务响应数，如未设置，返回不是2XX的事务响应数。 响应超时：是在设置的响应超时时间内，对应的TCP连接中没有响应数据返回的用例请求数量。 连接被拒绝：发送报文建立连接时，服务器拒绝连接数。 其他错误：不属于以上几种错误的数量。 响应码分布 1XX/2XX/3XX/4XX/5XX。 响应时间区间比例 用例的响应时间区间比例。 TP最大响应时间 指在一个时间段内（如10s），统计该请求每次响应所消耗的时间，并将这些时间按从小到大的顺序进行排序，取对应的百分比的那个值作为TPXX的最大响应时间。 TP50：指在一个时间段内（如10s），统计该请求每次响应所消耗的时间，并将这些时间按从小到大的顺序进行排序，取第50%的那个值作为TP50的值。 TP75：指在一个时间段内（如10s），统计该请求每次响应所消耗的时间，并将这些时间按从小到大的顺序进行排序，取第75%的那个值作为TP75的值。 TP90：指在一个时间段内（如10s），统计该请求每次响应所消耗的时间，并将这些时间按从小到大的顺序进行排序，取第90%的那个值作为TP90的值。 TP95：指在一个时间段内（如10s），统计该请求每次响应所消耗的时间，并将这些时间按从小到大的顺序进行排序，取第95%的那个值作为TP95的值。 TP99：指在一个时间段内（如10s），统计该请求每次响应所消耗的时间，并将这些时间按从小到大的顺序进行排序，取第99%的那个值作为TP99的值。 TP99.9：指在一个时间段内（如10s），统计该请求每次响应所消耗的时间，并将这些时间按从小到大的顺序进行排序，取第99.9%的那个值作为TP99.9的值。 TP99.99：指在一个时间段内（如10s），统计该请求每次响应所消耗的时间，并将这些时间按从小到大的顺序进行排序，取第99.99%的那个值作为TP99.99的值。

本文介绍Web应用防火墙（边缘云版）的接入防护前提条件以及防护能力概览。 接入防护前提条件 您需要先在控制台新增域名并接入边缘云WAF，具体操作可见WAF接入 防护能力概览 下表将为您描述目前边缘云WAF具备的防护能力以及应用场景 模块 防护能力 说明 应用场景 Web安全 []( 支持配置Web安全的防护开关，可调整防护处理动作以及防护规则集、无需检测的静态文件后缀 为Web安全的基础配置，您需要使用任何防护能力都需要先进行基础配置 Web安全 规则防护 目前已维护6套防护规则集，基于正则的规则防护引擎进行 Web 漏洞和未知威胁防护，能够抵御SQL 注入、XSS 攻击、恶意扫描、命令注入攻击、Web 应用漏洞、WebShell 上传、不合规协议、木马后门等17类通用的 Web 攻击 建议基于自身业务防护需求选择对应的防护规则集 Web安全 网页防篡改 位于高级防护模块下，能够保护网站核心静态页面，避免因为源站页面被恶意篡改带来的负面影响 希望网站防止被恶意篡改页面内容时配置 Web安全 防护敏感信息泄露 位于高级防护模块下，支持对网站返回的内容进行脱敏展示，过滤内容包括敏感信息（如身份证、手机号、银行卡、邮箱等） 希望网站避免泄露身份证、手机号等敏感信息时配置 Web安全 []( 支持检查HTTP协议头部，对HTTP请求信息中的方法以及参数长度等信息进行检测，对不符合的请求项进行拦截或告警 针对不在HTTP请求合规、上传内容合规、配置符合网站处理规范内的请求进行相应处理 Web安全 cookie防护 位于高级防护模块下，采用cookie加密、cookie签名等方式对cookie字段的字进行加密或签名，防护一些使用cookie中的弱key进行权限绕过的漏洞利用，也能在一定程度上限制基于cookie修改的爬虫 可以防护cookie盗用、cookie篡改、cookie信息泄露等攻击事件。需要客户端支持携带cookie，通常小程序、APP、API可能不支持 Web安全 攻击挑战 位于高级防护模块下，支持自动阻断短时间内发起多次Web攻击的IP，快速应对恶意扫描及代理、Web 攻击威胁等行为，可提升攻防对抗效率 攻防演练、恶意扫描及代理、Web攻击行为等 Web安全 CSRF防护 位于高级防护模块下，支持防护跨站请求伪造（英语：Crosssite request forgery，简称CSRF）攻击 针对发起CSRF攻击进行防护 Web安全 广告防护 位于高级防护模块下，支持解析源站响应页面代码，在body中插入广告检测js代码，实现广告防护和监测功能 针对网站出现的恶意广告（网站中出现未将网站所有者允许的广告内容）进行防护 Web安全 设置账户安全防护 从撞库、暴力破解两个攻击角度进行防护，保障用户的账户安全 针对账户安全的场景进行防护 Bot管理 Bot防护策略 通过cookie挑战、跳转挑战、人机挑战、爬虫阈值限制、爬虫陷阱等防爬策略，精准命中爬虫流量，拦截各类恶意爬虫 针对支持携带cookie的客户端请求，小程序、APP、API可能不支持 对于无法正常执行跳转的请求，可以设置跳转挑战 Bot管理 爬虫情报规则 支持针对搜索引擎IP放行、针对恶意Bot请求IP封禁，目前爬虫情报库已维护接近10万条数据 对已知搜索引擎IP放行处理，不经过Bot防护策略，提升网站SEO权重； 对已知恶意Bot请求IP拦截处理 Bot管理 IP情报规则 支持针对已维护的IP信誉库，从威胁类型维度（IDC服务器、傀儡机、漏洞利用等十几类）进行IP封禁，目前IP信誉库已维护接近120万条数据 对已知IDC IP进行封禁处理；拦截傀儡机、漏洞利用等已知恶意IP 访问控制/限流 []( 支持根据请求的URL，频率、行为等访问特征，迅速识别CC攻击并进行拦截 防护大规模CC攻击，避免源站资源耗尽，保证企业网站的正常访问 访问控制/限流 IP黑名单 支持针对指定IP以及指定地域IP进行封禁处理 封禁来自国外访问的IP 访问控制/限流 扫描防护 支持识别常见的扫描器类型，也支持自定义扫描器识别规则，做到精准拦截 拦截常见的扫描器类型，避免网站受到外部扫描 防护白名单 网站白名单 支持在访问控制中，针对特定请求设置为白名单，则不经过全局防护策略的检测 对于可信任流量可以设置为白名单，将不经过任务防护策略 防护白名单 Web规则白名单 支持针对防护规则集中的具体规则设置白名单，则指定请求不经过该规则的检测 某条域名规则出现误拦截时，可以将误拦截的请求设置为白名单 防护白名单 []( 支持针对Bot防护策略设置白名单，则指定请求将不经过Bot防护策略的检测 明确不需要经过Bot防护策略的请求，可以在Bot功能模块中设置为白名单 开启IPv6防护 开启IPv6防护 提供IPv4/IPv6双栈服务，能够解决网站“天窗”问题，并可以有效提升网站IPv6链接支持率 政策驱动，各地市对于当地企业网站的IPv6浓度有一定指标

错误编码 错误原因 错误类型 解决方案 0x0001 应用资源格式异常 服务端异常 请重新启动零信任客户端并登录。 0x0002 应用资源返回异常 服务端异常 请重新启动零信任客户端并登录。 0x0003 控制中心的隧道资源格式异常 服务端异常 请重新启动零信任客户端并登录。 0x0004 控制中心的隧道资源返回异常 服务端异常 请重新启动零信任客户端并登录。 0x0005 认证中心返回异常 服务端异常 请重新启动零信任客户端并登录。 0x0006 登录中心返回异常 服务端异常 请重新启动零信任客户端并登录。 0x0007 MAC的本地DNS端口冲突，比如5953是否被占用等 软件冲突 运行的软件可能与零信任客户端冲突，请关闭软件后再次启动零信任客户端。 0x0008 MAC的本地dns为空 网络或DNS异常 尝试切换网络后重新登录，若仍未恢复，请检查设备的DNS配置。 0x0009 Windows调用底层流量劫持失败 客户端异常 请重新启动零信任客户端并登录。 0x0010 Windows启动隧道异常 客户端异常 请重新启动零信任客户端并登录。 0x0011 Windows获取边缘节点地址异常 网络或DNS异常 请检查或尝试切换网络。若仍未恢复，请检查设备的DNS配置。 0x0012 windows创建网络适配器异常 客户端异常 请重新启动零信任客户端并登录。 0x0013 windows开启网卡驱动日志异常 客户端异常 请重新启动零信任客户端并登录。 0x0014 启动配置解析认证中心域名异常 客户端异常 如果使用了配置文件，请检查配置项格式是否正确，如果未使用，请重新安装零信任客户端并重新登录。 0x0016 秘钥创建异常 客户端异常 请重新安装零信任客户端，并重新登录。 0x0017 私钥创建异常 客户端异常 请重新安装零信任客户端，并重新登录。 0x0018 公钥创建异常 客户端异常 请重新安装零信任客户端，并重新登录。 0x0019 MAC进程异常重启 客户端异常 请尝试重新登录。 0x0020 认证中心返回的隧道节点为空 服务端异常 请重新启动零信任客户端并登录。 0x0021 Windows网卡配置加载失败 客户端异常 请重新启动零信任客户端并登录。 0x0022 Windows网卡启动失败，未找到vpn网卡 客户端异常 请重新启动零信任客户端并登录。 0x0026 sdk认证返回异常 客户端异常 请重新启动零信任客户端并登录。 0x0027 认证请求不合法 客户端异常 请重新启动零信任客户端并登录。 0x0031 没有可用节点 服务端异常 请重新启动零信任客户端并登录。 0x0043 隧道watchdog 配置网卡超时 客户端异常 请重新启动零信任客户端并登录。 0x0033 错误的节点索引 客户端异常 请重新启动零信任客户端并登录。 0x0036 未配置连接器，隧道创建失败 服务端异常 请先上控制台配置对应连接器。 0x0037 认证中心通告，未匹配上报的节点 服务端异常 网络异常，请检查DNS设置，关闭其他VPN代理软件再重新登录。若未解决，可用诊断工具检测。

本文介绍一站式智算服务平台使用前的准备工作。 注册主账号 在开通和使用一站式智算服务平台之前，您需要先注册天翼云门户的账号。本节将介绍如何进行账号注册，如果您拥有天翼云的账号，可登录后使用一站式智算服务平台。 1. 打开天翼云门户网站，点击【注册】。 2. 在注册页面，请填写“邮箱地址”、“登录密码”、“手机号码”，并点击【同意协议并提交】 按钮，如1分钟内手机未收到验证码，请再次点击【免费获取短信验证码】按钮。 3. 注册成功后，可到邮箱激活您的账号，即可体验天翼云。 4. 如需实名认证，请参考会员服务实名认证。 5. 主账号默认就是IAM管理员角色，具有平台所有权限。 为账户充值 1. 使用一站式智算服务平台之前，请保证您的账户有充足的余额，账户余额需要大于100元。 2. 关于如何为账户充值，请参考费用中心在线充值。 3. 一站式智算服务平台支持包周期预付费。 创建子账号 前置条件 通过主账号或角色为IAM管理员的子账号登录到一体化智算服务平台 创建子账号操作步骤 1. 将鼠标放置在右上角用户登录信息处，会显示一个下拉菜单，点击【基本信息】会进入到【账号中心】页面 2. 在【账号中心】页面，点击进入【统一身份认证】页面，即【IAM】页面 3. 在【IAM】页面，再次进入【用户】页面，在页面右上角点击【创建用户】按钮，进入到【创建用户】页面，按步骤填写相关信息即可创建子用户 需要特别说明的是，在为子用户添加【用户组】时，如果选择“admin”用户组(即IAM管理员角色)，则子用户拥有所有权限，希望子用户不拥有全部权限，则可以不分配用户组，或者自定义创建用户组，此时子账号的角色为IAM普通用户 当需要将子账号从某个用户组移除时，可进入到【用户组】页面，进行移除操作，移除后，子账号将不再具有对应用户组的权限

本文介绍单区域访问CDN节点异常时，可能的场景及对应排查思路。 场景一：在特定网络下才访问异常（切换WiFi/移动网络、关闭代理软件可恢复正常访问） 可能的原因及排查思路： 本地网络异常。 确认客户端本地网络环境是否正常。例如，可通过浏览器访问百度页面，或者使用在线诊断工具，确认客户端自身网络环境是否正常。如访问百度或其他网站均正常，说明本地网络正常。 对应网络环境的出口IP被源站或CDN节点封禁。 绑定源站访问测试。通过修改HOSTS文件的方式绑定源站访问看是否可以正常请求，如果无法请求则表明源站对该出口IP做了封禁处理。 如测试源站未封禁该出口IP，请提交工单给天翼云客服进行排查，确认CDN节点是否有对应封禁策略，在此之前请通过ipip或者站长之家等工具获取本地的出口IP。 场景二：单区域多用户反馈访问异常，或使用ping命令ping CDN节点存在节点不通、丢包严重的情况 可能的原因及排查思路： 本地或区域性网络异常。确认客户端本地网络环境是否正常。例如，可通过浏览器访问百度页面，或者使用在线诊断工具，确认客户端自身网络环境是否正常。如访问百度或其他网站均正常，说明本地网络正常。 CDN节点网络异常或被攻击。 测试节点的网络情况。在本地使用ping命令，测试该节点IP，以及使用站长之家工具在全国探测该节点IP是否存在问题，若各个地区访问该节点延迟均较大或者不通，本地也ping不通该节点，则该节点存在问题的可能性较大。 测试节点的端口情况。使用telnet客户端工具，测试节点对应端口是否有效，如若出现端口不通的情况，请提交工单给天翼云客服进行排查。 本地或本区域到CDN节点的中间链路某路由节点故障。 在本地的Windows主机使用tracert，或者在Linux主机使用traceroute，探测该CDN节点IP并提供完整探测截图，提交工单给天翼云客服进行排查。在此期间可更改本地DNS为其他DNS（例如223.5.5.5、114.114.114.114或119.29.29.29），并刷新本地的DNS缓存，使其调度到其他正常的节点。

本页介绍了分布式融合数据库HTAP的创建实例流程。 详细的创建实例过程能够帮助您更好的开始使用天翼云分布式融合数据库HTAP产品。 操作场景 本节将介绍分布式融合数据库HTAP的创建实例过程。 分布式融合数据库HTAP支持“包年/包月”和“按需计费”购买，您可以根据业务需要定制相应计算能力和存储空间的数据库实例。 注意事项 分布式融合数据库HTAP的性能，取决于用户订购分布式融合数据库HTAP时所选择的配置。可供用户选择的硬件配置为性能规格、存储类型以及存储空间等。 操作步骤 1. 登陆天翼云官网。 2. 选择“产品 > 数据库 > 分布式融合数据库HTAP”，进入分布式融合数据库HTAP 产品详情页面，点击【立即开通】。 3. 进入开通页面，选择或输入实例的相关配置信息。 其中基础配置包括计费模式、区域、引擎类型、版本和可用区，可用区可以选择1个或者3个。 实例规格包括配置模板、性能类型、各节点规格及数量。 配置模板给出了入门配置和标准配置两种建议，您也可以自定义配置。 性能类型有三种，通用型、计算增强型、内存优化型，并可以搭配六代机和七代机使用。 计算节点至少1个，行存节点至少3个，列存节点可以为0个，管理节点固定为3个，监控节点固定为1个。计算节点、行存节点、列存节点可根据需求自定义数量，最大数量不超过50个。 数据备份默认开启，开启数据备份后，至少要添加一个同步节点。若不开启数据备份，则不用添加同步节点。 网络配置包括虚拟私有云、子网、安全组。 数据库设置可以设置实例名称，如果批量订购多个实例，从第二个实例开始，实例名称1，第三个实例名称2。 购买量包括购买时长、购买数量、是否自动续订，最多可以批量购买50个实例。 最后阅读相关产品协议，确认协议内容，同意则勾选协议。 4. 点击【确认订单】跳转到支付页面，可以看到所需开通实例的配置信息，包括开通页面中所选则的配置信息、购买量、资源池及购买时长，确认支付费用，确认无误后点击【立即支付】。 5. 支付成功后返回订单列表页面，能看到实例状态为 “开通中”。稍等一会后，刷新页面，待实例状态显示“已完成”，创建实例成功。

本页面提供了如何在管理控制台创建实例、连接实例的具体操作流程。 请按照以下流程操作云数据库ClickHouse： 1. 创建实例： 创建包年/包月或按需计费的云数据库ClickHouse集群 2. 创建账号并获取连接地址： 在产品控制台中的账号管理页面创建管理员的数据库账号（参考：创建账号），以便管理云数据库ClickHouse集群。 按需配置云数据库ClickHouse集群的访问限制（参考：账号管理）。 从控制台页面获取端口，从而获得连接地址（实例管理 > 点击已开通实例 > 实例详情 > 连接地址查看）。 3. 客户端连接： 云数据库ClickHouse支持多种连接方式，包括JDBC连接、HTTP连接、命令行客户端连接、MySQL客户端连接。 4. 经典场景示例——创建数据库并导入数据进行使用： 使用clickhouseclient工具，将特定的数据集（hitsv1）导入到已创建的分布式表中，实现数据导入和管理。 云数据库ClickHouse提供单副本、双副本类型集群架构，用户可以根据实际情况选择合适的架构类型： 测试或一般业务场景 ：无严格高可用场景需求（或高业务连续性需求，且对资源要求不高），可选择使用单副本集群。单副本集群一方面无需单独部署ZK集群节点（与计算存储节点混合部署），更少资源需求。另一方面，可以支持最小1个节点，扩容节点时可按新增最小1个计算进行扩容，对资源要求较低。 重要及核心业务场景 ：有严格的高可用场景需求，建议使用双副本集群。ClickHouse提供副本机制，将数据冗余存储至2台或多台主机上，以提高数据的可靠性和冗余容错能力。与此同时，副本保证了数据的备份和故障恢复，当一个节点出现故障时，可以切换到其他副本节点，可以确保数据的持久性和可用性，有效应对主机故障场景。 配置建议： 架构 最小节点数 最小配置 节点推荐配置 单副本 1个计算节点 计算规格：4C16G 存储空间：100 GB 8C32G及以上，存储空间500GB及以上（根据实际业务需求进行测试和评估） 双副本 3个协调节点 2个计算节点 协调节点规格：4C16G 协调节点存储空间：100GB 计算节点规格：4C16G 计算节点存储空间：100GB 协调节点：8C32G，存储空间200GB+ 计算节点：8C32G/16C64G/32C128G，1TB及以上（根据实际业务需求进行测试和评估）

本章节主要介绍准备工作 在开始之前，您需要完成如下的准备工作。 步骤 1 创建虚拟私有云和子网。 虚拟私有云（Virtual Private Cloud，简称VPC）提供一个隔离的、用户自主配置和管理的虚拟网络环境，可以提升资源的安全性，简化用户的网络部署。 1. 登录虚拟私有云VPC控制台。 2. 单击右上角“创建虚拟私有云”。 3. 根据界面提示完成参数填写，单击“立即创建”。 步骤 2 创建密钥对。 新建一个密钥对，用于远程登录节点时的身份认证。 1. 登录弹性云服务器ECS控制台。 2. 选择左侧导航中的“密钥对”，单击右上角“创建密钥对”。 3. 输入密钥对名称后，单击“确定”。 4. 您的浏览器会提示您下载或自动下载私钥文件。文件名是您为密钥对指定的名称，文件扩展名为“.pem”。请将私钥文件保存在安全位置。然后在系统弹出的提示框中单击“确定”。 说明 为保证安全，私钥只能下载一次，请妥善保管，否则将无法登录节点。 步骤 3 创建负载均衡。 弹性负载均衡将作为服务网格对外访问入口，被服务网格管理的应用流量，均从此实例进入并分发到后端服务。 1. 登录弹性负载均衡ELB控制台。 2. 单击右上角的“创建弹性负载均衡”。 3. 所属VPC、子网请选择步骤1中创建的虚拟私有云和子网，其他参数根据界面提示填写，单击“立即创建”。 步骤 4 创建集群。 1. 登录云容器引擎CCE控制台。 2. 选择左侧导航中的“资源管理 > 集群管理”，单击右上角“创建CCE集群”。 3. 在“服务选型”页面设置如下参数，其余参数均采用默认值。 集群名称：用户自行输入，此处设置为“cceasm”。 虚拟私有云、所在子网：选择步骤1中创建的虚拟私有云和子网。 4. 单击“下一步：创建节点”，配置添加节点的参数。除节点规格和登录方式外，其余参数保持默认。 节点规格：vCPUs为4核，内存为8GB。 说明 此规格为部署Bookinfo应用所需的最小资源。 如果在创建网格中创建的网格版本为1.3.0，则此处的节点规格需要选择8核16GB。为了保证sidecar的稳定性，1.3.0版本网格默认每个sidecar的CPU限制为1核，内存限制为512M，因此需要更多资源。 登录方式：选择步骤2中创建的密钥对，用于远程登录节点时的身份认证。 5. 单击“下一步：安装插件”，在“安装插件”步骤中选择要安装的插件。 “系统资源插件”为必装插件，“高级功能插件”可根据实际需求进行选择性安装。 6. 单击“下一步：配置确认”，阅读使用说明并勾选“我已知晓上述限制”，确认所设置的服务选型参数、规格等信息。 7. 确认订单无误后，单击“提交”，集群开始创建。 集群创建预计需要610分钟，您可以单击“返回集群管理”进行其他操作或单击“查看集群事件列表”后查看集群详情。

本节为您介绍Oracle RAC系统安装的系统环境配置信息。 Oracle RAC系统的安装，需要进行较多的实例配置，配置遗漏或者错误会导致安装失败。详细配置方法请参照具体的配置手册，或咨询Oracle专家，示例仅展示CentOS7下静默安装Oracle RAC的主要步骤。实例配置可参考Oracle官方文档。 系统及软件信息 在本次示例中： 实例的操作系统为：CentOS Linux release 7.6.1810，内核版本为：3.10.0957.el7.x8664。 Oracle RAC的软件版本为：19c（19.3）Linux x8664。 NTP配置 Oracle RAC需要集群内所有实例的时间保持一致，时钟差距过大，会导致集群节点无法正常启动。可以通过公网或者内网NTP server同步好集群内各个实例的时钟。 ntpdate swap空间配置 Oracle文档建议内存在4GB16GB的实例，swap空间配置与内存空间一致，内存大于16GB的实例，swap空间配置为16GB即可。 fallocate l 16G /swapfile 此⽅式，swapon可能会失败，可以直接dd⼀个文件 dd if/dev/zero of/swapfile count1024k bs16384 chmod 600 /swapfile mkswap /swapfile swapon /swapfile /dev/shm 共享内存配置 需要确认/etc/fstab中配置了/dev/shm共享内存设备的正确挂载，类型需为 tmpfs 。 防火墙 检查Oracle相关服务没有被防火墙阻止（不建议直接关闭防火墙服务，除非在内网可信任网络内）。

云搜索服务中Kibana如何导出数据？ 在天翼云云搜索服务中心，可以在Kibana服务中利用Query Workbench插件将查询到的数据进行导出，如图所示，在Kibana中点击左侧框的Query Workbench，然后，查询出想要的数据，点击Download选择合适的文件格式进行数据导出。 云搜索服务的实例如何连接公网访问？ 新开启的云搜索实例默认不具备公网访问能力，您如果需要通过公网访问需要为其绑定弹性IP或IPv6带宽，并配置安全组信息，才可使用公网访问。 约束限制 1. 开启公网访问后，会因此产生流量费用，请您提前根据自身需求，购买合适的产品，公测期该费用照常收取。 2. 配置完成后，需要前往安全组设置页面，配置公网访问白名单后，才可正常使用。 3. 如果需要使用IPv6访问，需要在开通虚拟私有云VPC时即选择开通IPv6能力的子网，并在下单时选择该子网，不支持实例开通后再升级IPv6。 开通IPv6访问能力的实例 您需要在订购时选择具备IPv6的虚拟私有云，选择子网后，会提示“该子网已开通IPv6”。并在IPv6访问处开启开关，如关闭，则仅可通过IPv4访问实例。 配置实例公网访问 您可以对已开通的实例进行公网访问的配置、修改、查看、解绑操作。 1. 登录云搜索服务控制台，进入实例管理列表页，选择需要设置的实例点击名称进入详情页。 2. 在详情页面里选择“安全设置”，在弹出的页面上选择需要绑定的公网IP类型，如果为IPv4，请在下拉列表中选择弹性IP地址；如果为IPv6，请选择IPv6的带宽名称。如果绑定失败，可以等待几分钟后再次尝试重新绑定。绑定的弹性IP或IPv6带宽需要处于空闲状态。 注意 IP绑定过后，要补充安全组策略方可实现本地电脑公网访问Kibana或连接Elasticsearch。 3. 修改绑定弹性IP或IPv6带宽，也需要在当前页面选择对应要修改的项目，点击“修改公网IP”进行重新绑定。 4. 解绑弹性IP或IPv6带宽，可关闭公网访问状态，或点击已绑定的项目后的解绑按钮，即可解绑当前的公网访问能力。 5. 实例退订将自动解绑已绑定的弹性IP或IPv6带宽，如弹性IP或IPv6带宽不再使用，您需要另外前往弹性IP的控制台退订相应的弹性IP或IPv6带宽才会停止对应产品的计费。

获取WAF回源IP地址 回源IP是WAF用来代理客户端请求服务器时用的源IP，在服务器看来，接入WAF后所有源IP都会变成WAF的回源IP，而真实的客户端地址会被加在HTTP头部的XFF字段中。 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的。 步骤 3 单击页面左上方的，选择“安全 > Web应用防火墙 （独享版）”。 步骤 4 在左侧导航树中，选择“网站设置”，进入“网站设置”页面。 步骤 5 在网站列表右侧，单击“Web应用防火墙回源IP网段”，查看Web应用防火墙所有回源IP段。 说明 Web应用防火墙的回源IP网段会定期更新，及时将更新后的回源IP网段添加至相应的安全组规则中，避免出现误拦截。 步骤 6 在“Web应用防火墙的回源IP网段”对话框，单击“复制IP段”，复制所有回源IP。 设置ECS入方向规则 如果您的源站服务器直接部署在天翼云ECS上，请参考以下操作步骤设置安全组规则，只放行WAF回源IP段。 说明 请确保所有WAF回源IP段都已通过源站ECS的安全组规则设置了入方向的允许策略，否则可能导致网站访问异常。 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域或项目。 步骤 3 选择“计算 > 弹性云服务器 ECS”。 步骤 4 在目标ECS所在行的“名称/ID”列中，单击目标ECS实例名称，进入ECS实例的详情页面。 步骤 5 选择“安全组”页签，单击“更改安全组”。 步骤 6 单击安全组ID，进入安全组基本信息页面。 步骤 7 选择“入方向规则”页签，单击“添加规则”，进入“添加入方向规则”页面，参数配置说明如表所示。 入方向规则参数配置说明： 参数 配置说明 协议端口 安全组规则作用的协议和端口。选择“自定义TCP”后，在TCP框下方输入源站的端口。 源地址 逐一添加步骤6中复制的所有WAF回源IP段。 说明 一条规则配置一个IP。单击“增加1条规则”，可配置多条规则，最多支持添加10条规则。 步骤 8 单击“确定”，安全组规则添加完成。 成功添加安全组规则后，安全组规则将允许WAF回源IP段的所有入方向流量。 您可以参考[如何判断源站存在泄露风险](

本节主要介绍创建公网NAT网关的操作步骤。 操作场景 如果您要通过NAT网关访问公网或为公网提供服务，则需要购买公网NAT网关。 前提条件 已创建了公网NAT网关所需的VPC和子网。 由于需要放通到公网NAT网关的流量，即在VPC中需要有指向公网NAT网关的路由，因此在购买公网NAT网关时，会自动在VPC的默认路由表中添加一条0.0.0.0/0的默认路由指向所购买的公网NAT网关。如果在购买公网NAT网关前，VPC默认路由表下已经存在0.0.0.0/0的默认路由，则会导致自动添加该默认路由指向公网NAT网关失败，此时需要在公网NAT网关购买成功后，手动为此网关添加一条不同的路由或在新路由表中创建0.0.0.0/0的默认路由指向该网关。 操作步骤 1. 登录管理控制台。 2. 在系统首页，单击“网络 > NAT网关”。 进入公网NAT网关页面。 3. 在公网NAT网关页面，单击“创建NAT网关”，进入公网NAT网关购买页面。 图 创建NAT网关页面 4. 根据界面提示，配置公网NAT网关的基本信息，配置参数请参见下表。 表 参数说明 参数 参数说明 计费模式 公网NAT网关支持按需计费。 区域 公网NAT网关所在的区域。 名称 公网NAT网关名称。 最大支持64个字符，仅支持数字、字母、（下划线）、（中划线）。 虚拟私有云 公网NAT网关所属的VPC。VPC仅在购买公网NAT网关时可以选择，后续不支持修改。 子网 公网NAT网关所属VPC中的子网。子网至少有一个可用的IP地址。子网仅在创建公网NAT网关时可以选择，后续不支持修改。 规格 公网NAT网关的规格。公网NAT网关共有小型、中型、大型和超大型四种规格类型，可通过“了解更多”查看各规格详情。 描述 公网NAT网关信息描述。最大支持255个字符。 5. 单击“立即购买”，在“规格确认”页面，您可以再次核对公网NAT网关信息。 6. 确认无误后，单击“提交”，开始创建公网NAT网关。 公网NAT网关的创建过程一般需要15分钟。 7. 在“公网NAT网关”列表，查看公网NAT网关状态。 公网NAT网关创建成功后，查看该公网NAT网关所在的VPC的默认路由表下是否存在0.0.0.0/0的默认路由指向该公网NAT网关，如果不存在，请在默认路由表中添加一条指向该公网NAT网关的路由，或创建一个自定义路由表并在自定义路由表中添加0.0.0.0/0的默认路由指向该公网NAT网关。如下步骤以在自定义路由表中添加路由为例。

本文介绍如何在分布式消息服务Kafka控制台创建元数据导入任务，将元数据迁移至分布式消息服务Kafka现有实例。 前提条件 下载JDK8 购买并部署分布式消息服务Kafka实例 背景信息 Kafka集群元数据是指Kafka集群的Topic和Group配置信息。Kafka集群元数据存储于ZooKeeper上，Kafka集群各个节点从ZooKeeper中获取最新的元数据。因此，集群的各个节点的元数据被导出时都是最新且相同的。Kafka集群元数据可以被导出成一份JSON文件，然后被导入到另一个Kafka集群，实现自建Kafka集群元数据迁移上云。 元数据迁移是指将自建Kafka集群的元数据迁移到分布式消息服务Kafka实例。您可以将自建Kafka集群元数据导出，然后导入云分布式消息服务Kafka实例，分布式消息服务Kafka会解析成功导入的元数据，并支持在创建任务时可视化配置Topic和Group，配置完成后在目标实例中创建对应的Topic和Group，实现自建Kafka集群元数据迁移上云。 步骤一：导出元数据 使用元数据导出工具导出自建Kafka集群的元数据文件。 1.下载元数据导出工具，登陆分布式消息服务Kafka控制台>集群迁移>元数据迁移>创建任务>下载工具 下载对应jar包 2.将下载好的工具上传至能连接到Kafka集群的机器上 3.运行以下命令，导出元数据。运行命令后，您将在kafkamigration.jar 同级目录下看到 名为 metadata.json 的元数据文件。 java cp kafkamigration.jar com.ctg.migration.kafka.MigrationMetadata sourceKafkaConnect (resource topic,group username password mechanism configKey ) 参数 说明 示例 sourceKafkaConnect 自建Kafka集群的IP地址和端口号。 192.168.XX.XX:9092 resource 要导出的资源，可以是topic、 group或topic,group 默认topic,group topic,group username 连接kafka用户名，如果sourceKafkaConnect为免密接入点则无需填写 admin user password 连接kafka密码，如果sourceKafkaConnect为免密接入点则无需填写 real password mechanism 对应的协议，支持PLAIN、SCRAMSHA256、SCRAMSHA512，如果sourceKafkaConnect为免密接入点则无需填写 PLAIN configKey 源集群topic配置，支持多个key，多个用半角逗号分开，all：表示所有配置(不推荐)，具体支持哪些配置可以通过(bin/kafkaconfigs.sh help)命令查看 默认值为：retention.ms retention.ms,max.message.bytes

本章节介绍注册配置中心常见配置问题 注册配置中心监控支持Prometheus动态读取Nacos的服务列表而获取metrics吗？ 支持，但在MSE里面不支持展示。 部署了Spring Cloud应用，但是使用的是Consul注册中心，如何实现注册中心的托管呢？ MSE目前已上线了Consul引擎，诚邀您开通试用。 如何退订服务？退订后资源会立刻释放吗？ 1. 在实例列表页面选择目标实例退订。 1. 登录微服务引擎MSE注册配置中心管理控制台，选择资源池。 2. 在左侧导航栏，选择注册配置中心> 实例列表。 3. 在实例列表页面，选择目标实例所在行，点击操作列“更多”下面的“退订”按钮，跳转至确认页面。 4. 在退订确认页面请确认需要退订的实例信息，无误后点击确认即可退订。 5. 退订后实例无法再提供服务。 2. 退订后实例会被停止，无法访问，但资源不会立即释放，一般情况下数据会保留15天，准确保留时间以系统为准。 可以续订服务吗？服务能自动续期吗？ 包周期的实例可随时进行续订，续订后，到期时间将后延您所续订的时间。服务在购买时可以设置自动续期，您只需要选中“自动续费”按钮即可。 购买的实例性能无法满足实际需求怎么办？ 1. 购买实例前建议您先评估实际需求，然后参考产品规格章节 ，预留30%左右的容量，然后订购对应能力规格的产品。 2. 如果购买的实例无法随着业务发展无法满足实际需求可以使用扩容操作，对订购的实例进行扩容，扩容操作包括三种类型节点扩容（最高支持扩至9节点）、规格扩容（增加实例节点内存容量和CPU数量）、磁盘扩容（增加实例节点数据盘容量）。具体的操作可以参考如下步骤： 1. 登录微服务引擎MSE注册配置中心管理控制台，选择资源池。 2. 在左侧导航栏，选择注册配置中心> 实例列表。 3. 在实例列表页面，选择目标实例所在行，点击操作列扩容按钮，跳转至扩容页面。 4. 在扩容页面选择扩容的类型以及目标规格，点击确认后提交订单，支付完毕后可在控制台实例列表页面查看扩容状态。 说明 1. 节点扩容限制只能3>5>7>9逐步扩容，不能一次增加超过半数的节点。 2. 规格扩容只能选择相同架构和类型下的2C4G、4C8G、8C16G等既定规格扩容，不能自定义规格。 3. 磁盘扩容必须是步长(50G)的整数倍，不能随意指定数字。

参数名 类型 是否必选 名称及描述 code int 是 状态码，成功100000 message string 是 信息描述，成功返回success，其他返回异常信息描述 domain string 否 域名 productcode string 否 产品类型 cname string 否 CNAME，域名CNAME，例如：example.ctyun.cn.ctdns.cn. insertdate string 否 创建时间，date格式，例如20220420 17:09:32 statusdate string 否 修改时间，date格式，例如20220420 17:09:32 status int 否 域名状态，4已启用；6已停止。域名详情只返回域名的确定状态，过程中的状态不会返回。 areascope int 否 服务区域，1中国内地 2全球（不含中国内地） 3全球 origin obj 否 源站信息，数组类型 origin.origintype int 否 回源方式，1：择优回源方式，2：轮循回源方式，3：保持登录回源方式 origin.tcpports list< object > 否 tcp端口列表 origin.tcpports[].origin string 否 tcp回源端口 origin.tcpports[].req string 否 tcp请求端口 origin.udpports list< object > 否 udp端口列表 origin.udpports[].origin string 否 udp回源端口 origin.udpports[].req string 否 udp请求端口 origin.probeport string 否 探测端口 origin.detail list< object > 否 回源角色信息 origin.detail[].address string 否 回源地址 origin.detail[].weight int 否 权重 origin.detail[].role int 否 源站角色，1：主，2：备，默认是主 origin.detail[].level int 否 层级，角色为主时，层级取值为1；角色为备时，层级取值为15 dynamiccfg obj 否 动态配置 dynamiccfg.routetype int 否 选路方式，1：快速选路，2：稳健选路 dynamiccfg.kcp int 否 kcp转发开关，1：开启，2：关闭 dynamiccfg.packageloss float 否 丢包率阈值，范围01 accesscontrol obj 否 访问控制 accesscontrol.controlswitch int 否 ip黑白名单开关，1：开启，2：关闭 accesscontrol.matchtype int 否 匹配方式，1：掩码和ip段匹配，2：字符串匹配，若开关开启，则该字段必填 accesscontrol.controltype int 否 访问控制类型，1：ip黑名单，2：ip白名单，若开关开启，则需填写该字段 accesscontrol.iplist string 否 ip黑/白名单，若ip黑白名单开关开启，则需填写该字段，多ip以逗号分隔

本章节介绍数据库安全如何安装Agent。 安装Agent后，您才能开启数据库安全审计功能，对待审计的数据库进行审计。 本节介绍如何在Linux系统上安装Agent。 前提条件 已成功购买数据库安全审计实例，且实例的状态为“运行中”。 数据库已成功添加Agent。 已获取Linux操作系统Agent安装包。 安装Agent节点的运行系统满足Linux系统版本要求。 安装Agent 在您安装新版Agent的时候，需要您为当前安装的Agent自定义一个密码。 请您根据数据库类型以及数据库的部署环境，在相应节点上安装Agent。 1. 将下载的Agent安装包“xxx.tar.gz”上传到待安装Agent的节点（例如使用WinSCP工具）。 2. 使用跨平台远程访问工具（例如PuTTY）以root用户通过SSH方式，登录该节点。 3. 执行以下命令，进入Agent安装包“xxx.tar.gz”所在目录。cd Agent安装包所在目录 4. 执行以下命令，解压缩“xxx.tar.gz”安装包。tar xvf xxx.tar.gz 5. 执行以下命令，进入解压后的目录。cd解压后的目录 6. 执行以下命令，查看是否有安装脚本“install.sh”的执行权限。 7. 执行以下命令，安装Agent。sh install.sh。用户系统是Ubantu时，执行以下命令安装Agent。bash install.sh。界面回显以下信息，说明安装成功。否则，说明Agent安装失败。 start agent starting audit agent audit agent started start success install dbss audit agent done! 如果Agent安装失败，请您确认安装节点的运行系统是否满足Linux操作系统要求，并重新安装Agent。 8. 执行以下命令，查看Agent程序的运行状态。service auditagent status如果界面回显以下信息，说明Agent程序运行正常。audit agent is running.

您需要在部署天翼云TeleDB数据库之前，检查相关的机器、安装包、操作系统、端口等信息。 确保您的安装包与操作系统版本匹配。 检查机器之间是否存在通信问题或者拦截问题，确保主机之间网络互通。 确保已获取主机超级用户。 硬盘空间足够。 已安装好java运行时。 部署好ZooKeeper。

本小节介绍安全专区云堡垒机映射端口策略配置。 如需要从互联网访问云堡垒机，需在云防火墙设置服务器映射策略，操作请参考服务器映射。 策略配置如下： 1.使用“系统管理员”的账户登录安全专区，访问云防火墙组件管理。 2.进入【策略】→【地址转换】→【新增】→【服务器映射】，为云堡垒机添加端口服务映射，需要添加两个云堡垒机的映射策略，包括“堡垒机管理端口服务映射”和“堡垒机运维单点登录映射端口”： 3.添加“堡垒机管理端口服务映射”。 原始数据包 源区域：选择“L3untrustA”； 外网地址：eth0地址（与绑定弹性公网IP对应的私有地址）； 协议&端口：互联网访问的协议及端口。 转换后数据包 内网地址：指定IP； 指定IP：云堡垒机IP地址； 端口转换为：443端口。 4. 添加“堡垒机运维单点登录映射端口”： 原始数据包 源区域：选择“L3untrustA”； 外网地址：eth0地址（与绑定弹性公网IP对应的私有地址）； 协议&端口：9443，12024，12025端口。 转换后数据包 网络对象：指定IP地址； 指定IP：云堡垒机IP地址。

您需要在部署天翼云TeleDB数据库之前，检查相关的机器、安装包、操作系统、端口等信息。 确保您的安装包与操作系统版本匹配。 检查机器之间是否存在通信问题或者拦截问题，确保主机之间网络互通。 确保已获取主机超级用户。 硬盘空间足够。 已安装好java运行时。 部署好ZooKeeper。

服务器安全卫士检测防护挖矿 1.提高攻击门槛，有效缩减90% 攻击面 事实证明，90% 的攻击事件都利用了未修补的漏洞，且攻击者的手段不断变化，网络安全状况也在随着安全漏洞的增加变得日益严峻。而传统的漏洞扫描器仅为按季度或按年的周期性扫描，在未进行检测期间，新的漏洞很容易被黑客利用入侵。因此，企业需要能够实现风险持续性地监测与分析产品，能够化被动为主动，深入发现内部暴露的问题和风险，持续有效地对风险进行处理，从而提高攻击门槛，缩减修复窗口期。 持续更新的补丁库以及agent 探针式的主动扫描，能及时、精准发现系统需要升级更新的重要补丁，第一时间帮助用户发现潜在可被黑客攻击的漏洞。深入检测系统中各类应用、内核模块、安装包等各类软件的重要更新补丁，结合系统的业务影响、资产及补丁的重要程度、修复影响情况，智能提供最贴合业务的补丁修复建议。 自动识别应用配置缺陷，通过比对攻击链路上的关键攻击路径，发现并处理配置中存在的问题，大大降低可被入侵的风险。如下图中黑客利用redis 应用漏洞的攻击链路，针对黑客的每一步探测，系统均会进行持续性的检测，及时发现并处理某个配置缺陷，将有效解决潜在安全隐患、阻断黑客的进一步活动。 持续关注国内外最新安全动态及漏洞利用方法，不断推出最新漏洞的检测能力，至今已积累50000+ 的高价值漏洞库，包括系统 / 应用漏洞、EXP/POC 等大量漏洞，覆盖全网 90% 安全防护。同时，基于 Agent 的持续监测与分析机制，能迅速与庞大的漏洞库进行比对，精准高效地检测出系统漏洞。 精准检测几十种应用弱密码，覆盖企业常用应用如SSH、Tomcat、MySQL、Redis、OpenVPN 等。获取应用账号密码的明文或哈希值，与弱密码表中的明文密码或者明文密码计算出的哈希值比较，确定是否为弱密码。如口令未发生新的变更，不再重复对弱口令进行检测。通过分布式的 Agent 对全量主机的弱口令检测，一方面极大的提高工作效率，另一方面对流量及业务的影响也降到了最低。同时，结合企业特征，系统能智能识别更多组合弱口令，支持用户自定义口令字典以及组合弱口令字典，能有效预防被黑客定向破译的风险。 2.多锚点的检测能力，实时发现失陷主机 传统的入侵防护方案能够很好地抵御已知的攻击，但是对于未知和迅速变化的攻击手段则缺乏相应的检测能力。因此，如何实现有效的入侵检测并提供实时的告警和响应手段已经成为安全建设亟需解决的问题。当前的攻击手段千变万化，但是攻击成功后要做的事情却是归一化的。因此，服务器安全卫士将视角从了解黑客的攻击方式，转化成对内在指标的持续监控和分析，无论多么高级的黑客其攻击行为都会触发内部指标的异常变化，从而被迅速发现并处理。 通过实时监控登录行为，可以及时且自动化地发现黑客使用不同服务尝试暴力破解用户登录密码的攻击行为，并进行自动化封停处理，使得黑客不能进行更多的尝试，自动封停后会根据预定义的封堵时间进行解封。 自动化地监控关键的Web 目录，结合恶意样本库、正则库、相似度匹配等多种检测方法，实时感知文件变化，从而能够及时发现 Web 后门，并对后门的恶意代码内容进行清晰标注。 通过对用户进程行为进行实时监控，结合行为的识别方法，及时发现进程的非法Shell 连接操作产生的反弹 Shell 行为，有效感知“0Day”漏洞利用的行为痕迹，并提供反弹 Shell 的详细进程树。 通过对用户进程行为进行实时监控，结合行为识别技术，我们能及时发现进程的提权操作并通知用户，并提供提权操作的详细信息。 通过分析常见的远程命令漏洞利用实例，利用模式识别的方式，实时监控用户进程行为的各项特征，对主机中进程异常的执行行为和执行命令内容进行精确匹配，能有效发现黑客利用漏洞执行命令的行为痕迹，并及时进行告警。告警信息提供整个漏洞利用过程的进程树信息，帮助用户准确分析黑客的入侵路径和目的，功能同时也支持用户自定义规则进行检测，可帮助适应客户多样化的业务流程，精准覆盖各类RCE 攻击的监控场景。 通过分析挖矿木马程序的行为特征，针对挖矿常见的特征研制多种检测模型，对挖矿进程执行的命令、挖矿在主机中的行为、挖矿文件的信息以及挖矿本身具备的属性都设置了相应的锚点进行监控，提供用户全方位的挖矿检测和防护能力。云端+ 客户端的双重检测模式，让挖矿程序的每一个特征和行为，都会被实时发现并上报告警，同时给出专业角度的安全分析。不仅支持对挖矿进行隔离、删除、修复验证等多种处理方式，同时也提供检测规则的高度自定义能力，方便用户对挖矿木马进行快速响应和预防。功能实现了从监控发现、检测分析、响应处理、设置预防的安全闭环能力，为用户提供稳定持续高效的安全服务。

操作场景 当需要使用SDRS服务时，需要在生产站点单独部署云容灾网关，不能与代理客户端部署在相同服务器。 云容灾网关将接收到的生产站点服务器的IO数据，进行汇聚压缩后，传输到容灾站点。 前提条件 云容灾网关建议起始规格为8U16G，操作系统只支持Linux，建议参考支持的操作系统版本。 云容灾网关服务器所在的区域、可用区、VPC 需要和生产站点服务器保持一致。 云容灾网关和代理客户端建议放在同一安全组内，安全组配置为仅允许安全组内弹性云主机互通。 为保障服务正常运行，需要确保端口未被占用，请参见附录中的“异步复制客户端的端口说明”。 操作步骤 以下操作以安装“24.6.0”版本的容灾网关“sdrsxxxx24.6.0.xxxx.tar.gz”为例。 1. 获取云容灾网关软件包到待部署服务器的任意目录。复制服务控制台页面提供的命令，登录待部署的云容灾网关服务器，进入任意目录，粘贴并执行命令获取软件包。 2. 在软件包所在目录下，以“root”用户，执行以下命令，解压缩软件包。 tar zxvf sdrsxxxx24.6.0.xxxx.tar.gz 3. 执行以下命令，进入安装脚本所在目录。 cd sdrsxxxx24.6.0.xxxx 4. 执行以下命令，安装云容灾网关软件。 sh install.sh drmip drmip draip draip rolegateway 其中，“drmip”和“draip”均为当前容灾网关服务器IP地址，可在弹性云服务器控制台界面获取。 回显中包含如下信息，说明云容灾网关安装成功： ... Installed DRM successfully. Installed SDRS successfully. ... 5. 执行以下命令，查看云容灾网关进程是否已启动。 ps ef grep java grep drm 回显如下类似信息： service 2089 1 5 10:25 ? 00:01:12 /opt/cloud/sdrs/drm/tools/jre/bin/java Djava.security.egdfile:/dev/random jar /opt/cloud/sdrs/drm/drm24.6.0.jar service.kernel.security.scc.configpathfile:/opt/cloud/sdrs/drm/classes/scc spring.config.location/opt/cloud/sdrs/drm/classes/application.properties 如果回显信息中“drm”进程存在，说明进程已启动。 6. 执行以下命令，查看云容灾网关监听端口是否建立。 netstat ano grep 7443 7. 安装完成后，将在软件包同级目录生成携带自签证书的安装包sdrsxxxx24.6.0.xxxxwithcerts.tar.gz 和用于完整性校验的sha256文件sdrsxxxx24.6.0.xxxx.tar.gzwithcertssha256。请使用该安装包用于代理客户端的安装部署。

Prefill 实例数：2 PrefillMaster 的资源菜单：CPU，内存，共享内存可以不填，NPU填：1 Decode 实例数：2 DecodeMaster 的资源菜单：CPU，内存，共享内存可以不填，NPU填：1 点击确认完成创建。 参数调整 因 MindIE 框架不支持通过启动参数修改配置，智算套件推理应用支持通过 环境变量 覆盖默认配置参数。 环境变量 MindIE配置文件参数名 默认值 适用阶段 环境变量添加位置 说明 MINDIEMODELNAME modelName 推理 Inference 名称(例：inferenceia89ho) Prefill / Decode prefillmaster / decodemaster 推理服务接口模型名称 MINDIEMODELWEIGHTPATH modelWeightPath /data/models Prefill / Decode prefillmaster / decodemaster 模型文件路径（通常情况不用修改） MINDIETP tp 等于 NPU 卡数量 Prefill / Decode prefillmaster / decodemaster MINDIEMAXSEQLEN maxSeqLen 2560 Prefill / Decode prefillmaster / decodemaster 模型最大序列长度 MINDIEMAXINPUTTOKENLEN maxInputTokenLen 2048 Prefill / Decode prefillmaster / decodemaster 最大输入 Token 长度 MINDIEMAXPREFILLBATCHSIZE maxPrefillBatchSize 50 Prefill prefillmaster / decodemaster MINDIEMAXPREFILLTOKENS maxPrefillTokens 8192 Prefill prefillmaster / decodemaster MINDIEMAXBATCHSIZE maxBatchSize 200 Decode prefillmaster / decodemaster MINDIEMAXITERTIMES maxIterTimes 512 Decode prefillmaster / decodemaster 例如修改modelNametest maxSeqLen18000 maxInputTokenLen18000 maxPrefillTokens18000 maxIterTimes18000，在prefillmaster和decodemaster中分别设置对应的环境变量

Master CPU，内存，共享内存可以不填，NPU填：8。 Worker 副本数 1，CPU，内存，共享内存可以不填，NPU填：8。 点击确认完成创建。 参数调整 因 MindIE 框架不支持通过启动参数修改配置，智算套件推理应用支持通过 环境变量 覆盖默认配置参数。 环境变量 MindIE配置文件参数名 默认值 环境变量添加位置 说明 MINDIEMODELNAME modelName 推理 Inference 名称（例：inferenceia89ho） Master 推理服务接口模型名称 MINDIEMODELWEIGHTPATH modelWeightPath /data/models Master 模型权重路径 MINDIEDP dp master + worker 副本数 Master MINDIETP tp master NPU 卡数量（Decode 默认 1） Master MINDIECP cp 1 Master MINDIESP sp 1 Master MINDIEPP pp 1 Master MINDIEMOEEP moeep master NPU 数量 ×（master + worker 数量） Master MINDIEMOETP moetp 1 Master MINDIEMAXSEQLEN maxSeqLen 2560 Master MINDIEMAXINPUTTOKENLEN maxInputTokenLen 2048 Master MINDIEMAXPREFILLBATCHSIZE maxPrefillBatchSize 50 Master MINDIEMAXPREFILLTOKENS maxPrefillTokens 4096 Master MINDIEMAXBATCHSIZE maxBatchSize 200 Master MINDIEMAXITERTIMES maxIterTimes 512 Master 例如修改 Master: modelNametest maxSeqLen5000 maxInputTokenLen5000 maxPrefillTokens5000 maxIterTimes5000，dp1，tp16 在master中设置对应的环境变量