本小节介绍态势感知配置虚拟网关及网络配置。 串联部署及网络配置 确保态势感知网关的安全组放行 22 端口，所有态势感知云主机网卡下关闭源/目的检查。虚拟网关的配置需要配合态势感知技术工程师。由态势感知技术工程师配置。 场景A 态势网关，直接下挂业务场景，网络配置步骤： 1. 在天翼云控制中心所有服务中点击网络下的虚拟私有云。 2. 在虚拟私有云中找到对应开通的3台云主机网段，点击进入。 3. 点击路由表选项下添加路由信息，配置路由，下一跳的IP地址为虚拟IP地址 场景B 态势网关下挂负载均衡器场景，网络配置步骤： 步骤一：在天翼云控制中心所有服务中点击网络下的虚拟私有云。 步骤二：在虚拟私有云中找到对应开通的3台云主机网段，点击进入。 步骤三：点击路由表选项，配置路由，下一跳的IP地址为虚拟IP地址

本文主要介绍步骤一：准备环境。 虚拟私有云 虚拟私有云（Virtual Private Cloud，以下简称VPC）为Kafka实例提供一个隔离的、用户自主配置和管理的虚拟网络环境。 步骤 1 在创建Kafka实例前，确保已存在可用的虚拟私有云和子网。 创建方法，请参考《虚拟私有云用户指南》的“创建虚拟私有云和子网”。如果您已有虚拟私有云和子网，可重复使用，不需要多次创建。 在创建VPC和子网时应注意如下要求： 创建的VPC与使用的Kafka服务应在相同的区域。 创建VPC和子网时，配置参数建议使用默认配置。 步骤 2 在创建Kafka实例前，确保已存在可用的安全组。 创建方法，请参考《虚拟私有云用户指南》的“创建安全组”。如果您已有安全组，可重复使用，不需要多次创建。 在创建安全组时应注意如下要求： 创建安全组时，“模板”选择“自定义”。 使用Kafka实例必须添加下表所示安全组规则，其他规则请根据实际需要添加。 表 安全组规则 方向 协议 端口 源地址 说明 入方向 TCP 9094 0.0.0.0/0 通过公网访问Kafka实例（关闭SSL加密）。 入方向 TCP 9092 0.0.0.0/0 使用内网通过同一个VPC访问Kafka实例（关闭SSL加密）。 入方向 TCP 9095 0.0.0.0/0 通过公网访问Kafka实例（开启SSL加密）。 入方向 TCP 9093 0.0.0.0/0 使用内网通过同一个VPC访问Kafka实例（开启SSL加密）。 入方向 TCP 9999 0.0.0.0/0 访问Kafka Manager。 入方向 TCP 9011 0.0.0.0/0 使用DNAT访问Kafka实例（开启SSL加密和关闭SSL加密都适用）。 说明 安全组创建后，系统默认添加入方向“允许安全组内的弹性云主机彼此通信”规则和出方向“放通全部流量”规则。此时使用内网通过同一个VPC访问Kafka实例，无需添加上表的规则。

本文通过完全开源的RAGFlow服务与云搜索服务的OpenSearch向量数据库与搜索大模型快速构建智能知识问答(RAG)服务。 RAGFlow 是一款基于深度文档理解的开源RAG（检索增强生成）引擎。它为企业级用户提供了一套端到端的 RAG 解决方案，通过结合大语言模型（LLM） 的能力，实现对多样化复杂格式数据的精准解析与知识检索，为用户提供依据充分、真实可靠的问答服务，并确保所有回答均附带可追溯的引用来源。 RAG（Retrieveraugmented Generation）是一种结合了信息检索和生成的自然语言处理（NLP）技术，特别适用于需要从大量数据中检索信息并生成自然语言文本的场景。它在处理复杂任务时能够提升生成模型的性能，尤其是在模型缺乏足够上下文或知识的情况下。 RAG的优势 RAG通过检索外部知识库或数据库中的相关信息，能够在生成过程中动态地补充实时或特定领域的知识，弥补了生成模型的“知识盲区”。这使得模型能够在没有训练时直接获得的信息基础上进行更加准确的回答或内容生成。针对企业内部包含的敏感数据（如薪资标准、客户资料等）以及大量专有信息（包括产品文档、客户案例、流程手册等），RAG提供了安全的解决方案。由于这些非公开信息无法直接预置到大模型中，RAG通过外部知识调用的方式，既满足了信息需求，又确保了数据安全性。

子网可以使用的网段是什么？ 子网的网段要在VPC的网段内部。VPC提供三段私网网段，10.0.0.0/828、172.16.0.0/1228和192.168.0.0/1628，所以子网的网段也会在这些范围内，且子网的掩码范围为：子网所在VPC掩码28。不同子网之间网段不能相同、不能有交集；子网创建成功后，不支持修改网段，请提前合理规划好子网网段。 虚拟私有云和子网的限额是多少？ 默认情况下，单个账号单个资源池最多可创建10个VPC，每个VPC下最多可创建10个子网。不同VPC之间默认隔离，同VPC下的不同子网之间默认互通。请根据您的实际业务合理规划VPC网络，如果配额不能满足需求，可以提交工单申请扩大配额。 一个用户能拥有多少个安全组？ 默认情况下，单个账号单个资源池最多可以创建100个安全组，一个安全组内可以创建500条安全组规则。更多配额情况可参考产品使用限制。 您可以通过合并地址段，相同防护规则的弹性云主机挂载到同一安全组等方式合理规划您的安全组及安全组规则使用情况，避免造成规则的冗余及资源浪费，增加您的维护成本。 每个用户可申请多少个镜像会话？ 在默认情况下，每个用户每个资源池最多可拥有10个镜像会话。目前暂不支持调整配额。 您可以从网络控制台>流量镜像>镜像会话列表页>了解配额详情进入服务配额，了解您的产品已用配额和总配额的具体情况。

虚拟私有云为用户提供完全隔离的虚拟网络环境,可满足不同的应用场景。 虚拟私有云是您在云上的私有网络，为云主机、云容器、云数据库等云上资源构建隔离、私密的虚拟网络环境。同时，VPC可以灵活搭配其他网络服务，支撑您构建构建多元化网络环境。 构建高安全的云上网络 虚拟私有云VPC是云上的私有网络，您可以将应用程序部署在VPC内的实例上，同时，通过配置安全组和网络ACL策略，可以保障VPC内部署的实例安全运行。 安全组对实例进行防护，将实例加入安全组内后，该实例将会受到安全组的保护。 网络ACL对整个子网进行防护，将子网关联至网络ACL，则子网内的所有实例都会受到网络ACL保护。 您可以根据业务需求设置流量访问控制规则，比如您要部署面向公网提供服务的Web应用程序，则您可以在子网SubnetA01中的ECS上部署应用程序，在另外一个和公网隔离的子网SubnetA02中部署数据库，并且通过不同的安全组和网络ACL控制出入子网的流量。 构建多业务隔离的云上网络 如果您同时有多种业务需要部署在VPC内，并且业务A和业务B需要网络隔离，则您可以将业务A和业务B分别部署在不同的VPC。比如可以将业务A部署在VPCA内，业务B部署在VPCB内，两个VPC之间默认网络隔离，不同VPC内的资源无法直接通信，从而实现了业务间的逻辑隔离。

设置高可用虚拟 VIP } garpmasterdelay 1 设置当切为主状态后多久更新 ARP 缓存 garpmasterrefresh 5 设置主节点发送 ARP 报文的时间间隔 trackinterface { eth0 使用绑定 VIP 的网卡 例如 eth0 } } > 2.3 启动keepalived： > > 3、在port为port5oq20ui7dl的实例中做同样的上述操作，keepalived的配置文件响应的地址需要修改下，然后启动keepalived服务。 注意 1、您需要将配置文件中的通信方式配置为单播通信方式做心跳检测。 2、您需要修改下配置文件中的vrrpgarpmasterrefresh参数，避免由于主备频繁切换或网络抖动等异常情况导致主备切换失败，建议配置值为 5s 。 步骤四：将虚拟IP与主备弹性云服务器绑定 点击绑定服务器，弹出的对话框中， 4.1 选择“服务器类型”：云主机/物理机 4.2 选择网卡：云主机支持多网卡，可选择主网卡/扩展网卡(需确保网卡与虚拟IP在同一子网内才可绑定）。 步骤五：放通安全组规则 放通绑定虚拟IP的弹性云服务器所在的安全组，即放通对端入向安全组规则协议为Any。 说明 1、出向默认是全通的，如果有做限制，请放通出向规则协议为Any。

本文指导您同步EIP信息并开启弹性公网IP防护。 如果您未配置访问控制策略或未开启弹性公网IP防护，您的业务流量将只经过云防火墙，云防火墙不会实施拦截操作。 操作步骤 1. 登录天翼云控制中心。 2. 在左侧导航树中，单击左上方的“服务列表”，选择“安全 > 云防火墙”，进入云防火墙的概览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“资产管理 > 弹性公网IP管理”，进入“弹性公网IP管理”页面。 单击页面右上角“资产同步”，将您的弹性公网IP信息导入至列表中，刷新弹性公网IP列表。 说明 当前账号下有多个云防火墙时，资产同步只将“未防护”的EIP同步至列表中。 5. （可选）当您列表IP数量过多时，可执行此步骤进行筛选。 在页面上方搜索下拉框中，选择搜索类型并输入信息，回车键确认，可添加多个筛选条件，右侧进行搜索。 弹性公网IP地址/ID：IP地址，即“弹性公网IP”列；或对应的ID号，由系统自动生成，即“ID”列。 企业项目名称：您同步后显示的项目名称，即“企业项目信息”列。 已绑实例名称/ID：实例名称，如“云服务器”，即“已绑定实例”列中黑色字体的信息；实例名称的ID号，如“ecsctyun0101”，即“已绑定实例”列中蓝色字体的信息。 搜索类型支持模糊搜索。 未选择搜索类型时，默认类型为弹性公网IP地址/ID。 6. 开启弹性公网IP。 开启单个弹性公网IP。在所在行的“操作”列中，单击“开启防护”。 开启多个弹性公网IP。勾选需要开启防护的弹性公网IP，单击表格上方的“开启防护”。 说明 一个EIP只能在一个防火墙上开启防护。 仅支持当前账号所属企业项目下的弹性公网IP。 7. 在弹出的界面确认信息无误后，单击“绑定并开启防护”，可查看操作行的“防护状态”列显示“已防护”。 说明 EIP开启防护后，访问控制策略默认动作为“放行”。

本文介绍数据管理服务中的核心概念，以便用户更好的理解和使用数据管理服务。 概念大图 组织 组织对应于企业或租户，多个天翼云账号可加入一个组织。每个账号在DMS上的所有操作均限定在所属组织下，跨组织的资源对用户不可见。天翼云主账号首次进入DMS时，系统会自动为该主账号创建一个组织。 用户 一个组织下有多个用户，对应于一个企业下有多名员工。天翼云主账号或子账号均可成为DMS用户使用DMS功能。 团队 一个组织可划分为多个团队，团队对应于企业组织架构中的部门或者DevOps中的研发项目。DMS中的用户和资源可关联到具体的团队，实现管理域的划分。团队的具体作用包括： 企业可按组织架构进行团队划分，团队内闭环完成成员管理和工单审批，实现研发自助、高效协同； 大型组织可将数据库分团队管理，实现运维和管理职责的划分，不同DBA负责不同团队数据库的运维工作； 实现元数据的隔离，普通用户无法看见未加入团队的数据库元数据信息（如：库、表），提升元数据访问的安全性。 此外，每个组织默认都有一个公共团队，公共团队包含组织内所有成员。对于小规模企业，数据库用户和实例数较少，可以直接使用默认的公共团队进行协作，无需创建新团队。

本文帮助您快速熟悉虚拟私有云VPC的创建方式。 操作场景 虚拟私有云VPC是您在云上的私有网络，为云主机、云容器、云数据库等云上资源构建隔离、私密的虚拟网络环境。 您可以参考以下操作，自主选择IP网段来创建VPC，同时至少需要创建一个子网。创建VPC时，系统会为您生成一个默认路由表，默认路由表可以确保VPC内多个子网之间网络互通。 操作步骤 1. 进入创建虚拟私有云页面。 2. 在创建虚拟私有云页面，根据页面提示配置VPC和子网的参数。 3. 参数设置完成后，单击“立即创建”。返回VPC列表，可以查看新创建的VPC。 表 虚拟私有云参数说明 参数 说明 取值样例 区域 不同区域的云服务产品之间内网互不相通，请就近选择靠近您业务的区域，可减少网络时延，提高访问速度。 广州4 名称 输入VPC的名称。要求如下： 长度范围为164位。 名称由中文、英文字母、数字、下划线（）、点（.）组成。 vpctest IPv4网段 设置VPC的IPv4网段范围，VPC网段的选择需要考虑以下两点： IP地址数量：要为业务预留足够的IP地址，防止业务扩展给网络带来冲击。 IP地址网段：当前VPC与其他VPC、云下数据中心连通时，要避免网络两端的IP地址冲突，否则无法正常通信。 建议您使用RFC 1918中指定的私有IPv4地址范围，作为VPC的网段，具体如下： 10.0.0.0/824：IP地址范围为10.0.0.010.255.255.255，掩码范围824。 172.16.0.0/1224：IP地址范围为172.16.0.0172.31.255.255，掩码范围为1224。 192.168.0.0/1624：IP地址范围为192.168.0.0192.168.255.255，掩码范围为1624。 除上述地址外，若您必须使用非RFC 1918指定的私有IPv4地址范围，则必须排除以下系统预留地址和公网保留地址： 系统预留地址：100.64.0.0/10、214.0.0.0/7、198.18.0.0/15、169.254.0.0/16。 公网保留地址：0.0.0.0/8、127.0.0.0/8、240.0.0.0/4、255.255.255.255/32。 10.0.0.0/8 企业项目 创建VPC时，可以将VPC加入已启用的企业项目。 企业项目管理提供了一种按企业项目管理云资源的方式，帮助您实现以企业项目为基本单元的资源及人员的统一管理，默认项目为default。 default 高级配置 标签 单击“展开”按钮，展开折叠的高级配置区域，可以设置该参数。 您可以在创建VPC的时候为VPC绑定标签，标签用于标识云资源，可通过标签实现对云资源的分类和搜索。 键：vpckey1 值：vpc01 高级配置 描述 单击“展开”按钮，展开折叠的高级配置区域，可以设置该参数。 您可以根据需要在文本框中输入对该VPC的描述信息。描述信息内容不能超过255个字符，且不能包含“ ”。 表 子网参数说明 参数 说明 取值样例 子网名称 输入子网的名称。要求如下： 长度范围为164位。 名称由中文、英文字母、数字、下划线（）、点（.）组成。 subnet01 子网IPv4网段 设置子网的IPv4网段范围，子网是VPC内的IP地址块，可以将VPC的网段分成若干块。 192.168.0.0/24 子网IPv6网段 开启IPv6功能后，将自动为子网分配IPv6网段，暂不支持自定义设置IPv6网段。该功能一旦开启，将不能关闭。 关联路由表 路由表由一系列路由规则组成，用于控制VPC内出入子网的流量走向。创建VPC时会创建一个默认路由表，子网自动关联至默认路由表。默认路由表可以确保VPC内子网之间网络互通。 如果默认路由表无法满足使用需求，VPC创建完成后，您还可以创建自定义路由表，并将子网关联至自定义路由表，此时子网入流量仍然依据默认路由表，出流量会依据自定义路由表。 高级配置 网关 单击“展开”按钮，展开折叠的高级配置区域，可以设置该参数。 子网的网关，如果没有特殊需求，建议保持系统默认设置。 192.168.0.1 高级配置 DNS服务器地址 单击“展开”按钮，展开折叠的高级配置区域，可以设置该参数。 此处默认填写天翼云的DNS服务器地址，可实现云主机在VPC内直接通过内网域名互相访问。同时，还支持不经公网，直接通过内网DNS访问云上服务。 若您由于业务原因需要指定其他DNS服务器地址，您可以修改默认的DNS服务器地址。如果您删除默认的DNS服务器地址，可能会导致您无法访问云上其他服务，请谨慎操作。 您也可以通过“DNS服务器地址”右侧的“重置”将DNS服务器地址恢复为默认值。 DNS服务器地址最多支持2个IP，请以英文逗号隔开。 100.125.x.x 高级配置 域名 单击“展开”按钮，展开折叠的高级配置区域，可以设置该参数。 此处填写DNS域名后缀，支持填写多个域名，不同的域名之间以空格分隔，单个域名长度不超过63个字符，并且域名总长度不超过254个字符。 访问某个域名时，只需要输入域名前缀，子网内的云主机会自动匹配设置的域名后缀。 域名设置完成后，子网内新创建的云主机会自动同步该配置。 子网内的存量云主机，需要更新DHCP配置使域名生效，您可以重启云主机、重启DHCP Client服务或者重启网络服务。 test.com 高级配置 IPv4 DHCP租约时间 单击“展开”按钮，展开折叠的高级配置区域，可以设置该参数。 您可以设置IPv4地址的DHCP租约时间。 DHCP租约时间是指DHCP服务器自动分配给客户端的IP地址的使用期限。超过租约时间，IP地址将被收回，需要重新分配。 期限租约：设置DHCP租约期限，单位为天或者小时。 无限租约：设置DHCP不过期。 DHCP租约时间修改后，对于子网内的实例（比如ECS）来说，当实例下一次续租时，新的租约时间将会生效。实例续租分为自动更新租约和手动更新租约两种，续租不会改变实例当前的IP地址。如果需要DHCP租约立即生效，请在实例中手动更新租约或者重启实例。 高级配置 NTP服务器地址 单击“展开”按钮，展开折叠的高级配置区域，可以设置该参数。 如果您需要为当前子网新增NTP服务器地址，则需要填写该地址。此处填写的地址不会影响默认NTP服务器地址。 新增或修改原有子网的NTP服务器地址后，需要子网内的ECS重新获取一次DHCP租约，或者重启ECS，才能生效。 清空NTP服务器地址时，需要子网内的ECS重新获取一次DHCP租约，重启ECS无法生效。 192.168.2.1 高级配置 标签 单击“展开”按钮，展开折叠的高级配置区域，可以设置该参数。 您可以在创建子网的时候为子网绑定标签，标签用于标识云资源，可通过标签实现对云资源的分类和搜索。 键：subnetkey1 值：subnet01 高级配置 描述 单击“展开”按钮，展开折叠的高级配置区域，可以设置该参数。 您可以根据需要在文本框中输入对该子网的描述信息。 描述信息内容不能超过255个字符，且不能包含“ ”。

本文为您介绍应用云主机支持的镜像。 操作系统镜像是指对一个完整的操作系统进行位级别的复制，以创建一个与原始操作系统完全相同的副本。它是一个可启动的副本，可以直接安装到计算机的硬盘驱动器或虚拟机中，以创建一个与原始系统完全相同的工作环境。镜像包含了操作系统的所有文件、配置、驱动程序和应用程序，以及相应的目录结构和文件系统。通过操作系统镜像，用户可以快速而方便地配置新的计算机系统，而无需逐个安装操作系统、驱动程序和应用程序。镜像可以提供一个预先配置好的、可靠的基础系统，使得系统部署和配置变得更加简单和高效。 系统镜像 系统镜像是指对整个计算机系统（包括操作系统、应用程序、配置文件、驱动程序等）进行完全的位级别复制，以创建一个与原始系统完全相同的副本。系统镜像是一个完整的备份，可以用于系统部署、恢复和备份。 天翼云为用户提供以下类型的系统镜像： 镜像类型 说明 提供版本 Centos CentOS是一种基于开源代码的操作系统，它是以Red Hat Enterprise Linux（RHEL）为基础的免费发行版本。CentOS致力于提供企业级的稳定性、可靠性和兼容性，并长期提供安全更新和支持。 CentOS7.6 64位 CentOS7.7 64位 CentOS7.8 64位 CentOS8.0 64位 CentOS8.1 64位 CentOS8.2 64位 CentOS8.4 64位 Ubuntu Ubuntu是一种基于开源Linux的操作系统，以简单易用、稳定可靠和强大的社区支持而闻名。它提供直观友好的用户界面和广泛的软件选择，通过APT包管理工具轻松安装、更新和删除软件包。 Ubuntu 18.04 64位 Ubuntu 20.04 64位 Ubuntu 22.04 64位 Windows Windows操作系统是由微软公司开发和发布的操作系统，广泛应用于个人计算机和企业环境。它提供了直观的用户界面、丰富的应用程序和广泛的硬件兼容性，使用户能够轻松地进行日常任务、娱乐和生产工作。 Windows Server 2008 标准版 64位中文版 Windows Server 2008 企业版 R2 64位中文版 Windows Server 2012 标准版 R2 64位中文版 Windows Server 2012 数据中心版 R2 64位中文版 Windows Server 2016 标准版 R2 64位中文版 Windows Server 2016 数据中心版 64位中文版 Windows Server 2019 数据中心版 64位中文版 Windows Server 2022 数据中心版 64位中文版 注意 该表内为各资源池全量镜像，部分资源池支持镜像版本不一致，请以控制台实际情况为准。

本文主要介绍主机网络hostNetwork。 背景信息 Kubenetes支持Pod直接使用主机/节点的网络，对于需要直接访问主机网络的场景有一定的用途。 配置说明 Pod使用主机网络只需要在配置中添加hostNetwork: true即可，如下所示。 apiVersion: apps/v1 kind: Deployment metadata: name: nginx spec: replicas: 1 selector: matchLabels: app: nginx template: metadata: labels: app: nginx spec: hostNetwork: true containers: image: nginx:alpine name: nginx imagePullSecrets: name: defaultsecret 部署后可以看到Pod的IP与节点的IP相同，说明Pod直接使用了主机网络。 $ kubectl get pod owide NAME READY STATUS RESTARTS AGE IP NODE NOMINATED NODE READINESS GATES nginx6fdf99c8b6wwft 1/1 Running 0 3m41s 10.1.0.55 10.1.0.55 hostNetwork使用注意事项 Pod直接使用主机的网络会占用宿主机的端口，Pod的IP就是宿主机的IP，使用时需要考虑是否与主机上的端口冲突，因此一般情况下除非您知道需要某个特定应用占用宿主机上的特定端口时，不建议使用主机网络。 由于使用主机网络，访问Pod就是访问节点，要 注意放通节点安全组端口 ，否则会出现访问不通的情况。 另外由于占用主机端口，使用Deployment部署hostNetwork类型Pod时，要注意 Pod的副本数不要超过节点数量 ，否则会导致一个节点上调度了多个Pod，Pod启动时端口冲突无法创建。例如上面例子中的nginx，如果服务数为2，并部署在只有1个节点的集群上，就会有一个Pod无法创建，查询Pod日志会发现是由于端口占用导致nginx无法启动。 注意 请避免在同一个节点上调度多个使用主机网络的Pod，否则在创建ClusterIP类型的Service访问Pod时，会出现访问ClusterIP不通的情况。 $ kubectl get deploy NAME READY UPTODATE AVAILABLE AGE nginx 1/2 2 1 67m $ kubectl get pod NAME READY STATUS RESTARTS AGE nginx6fdf99c8b6wwft 1/1 Running 0 67m nginx6fdf99c8brglm7 0/1 CrashLoopBackOff 13 44m $ kubectl logs nginx6fdf99c8brglm7 /dockerentrypoint.sh: /dockerentrypoint.d/ is not empty, will attempt to perform configuration /dockerentrypoint.sh: Looking for shell scripts in /dockerentrypoint.d/ /dockerentrypoint.sh: Launching /dockerentrypoint.d/10listenonipv6bydefault.sh 10listenonipv6bydefault.sh: info: Getting the checksum of /etc/nginx/conf.d/default.conf 10listenonipv6bydefault.sh: info: Enabled listen on IPv6 in /etc/nginx/conf.d/default.conf /dockerentrypoint.sh: Launching /dockerentrypoint.d/20envsubstontemplates.sh /dockerentrypoint.sh: Launching /dockerentrypoint.d/30tuneworkerprocesses.sh /dockerentrypoint.sh: Configuration complete; ready for start up 2022/05/11 07:18:11 [emerg] 1

剧本是处理一类安全问题的方法描述，是态势感知（专业版）在安全编排系统中的形式化表述。 态势感知（专业版）默认提供了“告警指标提取”、“主机告警状态同步”、“重复告警自动关闭”等剧本，且剧本的初始版本（V1）也已激活，只需要启用就可以进行使用。 同时，如果需要对某个剧本进行编辑，可以复制初始版本进行处理。 场景一：系统默认激活剧本的初始版本（V1），仅开启剧本启用即可，参考启用剧本。 场景二：如果需要使用某个未启用剧本，支持对剧本版本进行修改后再启用，启用自定义剧本版本操作步骤如下： 1. 复制剧本版本 2. 编辑并提交剧本版本 3. 审核剧本版本 4. 启用剧本 前提条件 已启用剧本绑定的流程，具体操作请参见启用流程。 在启用剧本前需要确保已激活剧本版本，具体操作请参见激活/失活剧本版本。

跨VPC后端 跨VPC后端支持添加通过以VPC对等连接、VPN连接与专线连接互通的后端云主机。使用跨VPC后端功能时，请注意以下事项： 请前往负载均衡器基本信息页面开启跨VPC后端功能，否则该功能无法正常使用。 添加的跨VPC后端的IP地址只允许为IPv4类型的地址。 若要使用跨VPC后端功能，请先正确配置VPC路由，确保后端可达。 只有TCP，HTTP，HTTPS类型监听器支持跨VPC后端功能。 请确保负载均衡器的后端子网有足够的IP地址（至少有16个可用IP地址），否则该功能无法正常使用。可以通过负载均衡器的“基本信息 > 后端子网”添加多个后端子网来增加后端子网的IP地址。 跨VPC后端的安全组规则必须放通负载均衡器的后端子网网段，否则会导后端业务流量与健康检查异常。 跨VPC后端功能开启后无法关闭。 通过跨VPC后端功能添加的后端云主机，默认的源地址透传功能会失效。

可信服务功能介绍 什么是可信服务 可信服务是指可与组织管理服务集成，提供组织级相关能力的云服务。管理账号及主账号可以在组织中开启某个云服务为可信服务。成为可信服务后，云服务可以获取组织中的组织单元及成员账号信息，并基于此信息提供组织级的管理能力。例如，开启云防火墙为可信服务后，云防火墙可以获取组织单元及成员账号信息，统一为整个组织提供基于云防火墙的产品服务。 什么是委托管理员 委托管理员账号是一个组织中有特殊权限的成员账号。管理账号可指定某个成员账号为某个可信服务的委托管理员账号。成为委托管理员账号后，该成员账号下的用户可以使用对应可信服务的组织级管理能力。例如，某一个成员账号成为云防火墙的委托管理员后，可以共享云防火墙服务在组织成员账号内共同防护。 当前支持可信服务的云产品 可信服务 功能介绍 是否支持委派管理员账号 相关文档 云防火墙 云防火墙集成组织管理后，能够统一管理多账号的公网IP资产，统一配置防御策略，实现集中安全管控。 是 多账号管理 启用或禁用可信服务 登入企业组织管理员账号后，您可以在“企业中心可信服务”界面，对支持可信服务的产品进行开启或禁用。 组织管理员禁用某个云服务的可信访问后，此云服务便不能给成员账号创建此服务的"服务关联委托”。 服务启用可信后才可以设置委托管理员。

本节介绍了容器镜像安全扫描(企业版)的用户指南。 容器镜像服务CRS支持所有基于Linux的容器镜像安全扫描，识别镜像中所有已知的漏洞信息，并对漏洞信息进行风险评估。本文介绍如何指定镜像版本扫描和指定目标命名空间的容器镜像扫描，并获取镜像漏洞信息。 概述 在云原生平台中，容器镜像安全是云原生应用交付安全的重要一环，为了保障部署的服务安全性，防止服务因镜像漏洞被恶意攻击， 容器镜像服务CRS提供了对镜像进行安全扫描功能，不仅提升了容器整体的安全性，保护服务的安全。您可以在容器镜像服务页面中触发扫描，安全扫描的时长主要取决于镜像的大小，一般情况下扫描一个镜像可以在三分钟之内完成。当前镜像安全扫描服务基于开源Trivy 方案，相关漏洞信息来自官方漏洞库，并定期保持同步。 注意 受扫描引擎限制，建议镜像单层大小不要超过3GB，否则可能出现扫描失败。 操作步骤 1. 进入容器镜像服务控制台。 2. 点击已开通的企业版实例名称。 3. 左侧导航栏点击 "容器镜像" "镜像仓库"。 4. 在镜像仓库页面点击目标仓库名，进入镜像版本列表页面。 5. 点击需要扫描的镜像版本右侧的安全扫描按钮，后台会创建一个扫描任务。 6. 等待扫描完成后，可在漏洞栏查看扫描结果。 7. 点击镜像版本 Digest 名称，可在镜像详情页中查看漏洞的具体信息。

本文介绍如何创建会议。 快速会议 适用场景 当您需要临时召开会议，可使用“快速会议”功能。该功能适用于突发性的临时会议需求，如紧急协调或临时决策。 操作步骤 1. 打开AOne会议客户端，进入主界面。 2. 点击首页“快速会议”按钮，即可发起快速会议并自动入会。 3. 会中可点击左上角的“会议详情”按钮，或工具栏中的“邀请参会”>“分享会议”按钮。 4. 在弹出的窗口中复制会议号或会议链接。 5. 将会议号或会议链接通过微信、邮箱、钉钉等方式发送给需要参会的人员，即可完成邀请。 注意事项 快速会议默认为立即生效、无需密码，若有安全需求，请在会中通过“安全”按钮打开设置，手动设置锁定会议或入会范围。 发起人自动成为会议主持人，可进行全局会控操作。 默认时长为30分钟，如若超过会议结束时间6小时仍未结束会议，系统将会强制结束会议。 预定普通会议 适用场景 当您需要提前安排会议并通知参会人员时，可使用“预定会议”功能。适用于正式会议、面试、线上培训等场景。 操作步骤 1. 打开AOne会议客户端，进入主界面。 2. 点击首页的“预定会议”按钮。 3. 在“预定会议”设置页面，填写以下信息： 会议主题 、开始时间 、结束时间。 参会人员（可选），点击“添加参会人”邀请本企业成员。 是否启用入会密码 、等候室、会议水印、成员入会时静音、成员入会时关闭摄像头等安全配置。 是否启用自动开启云录制，可选择“主持人入会后开启”或“成员入会后开启”。启用后，该会议将在主持人/成员加入会议时自动开启云录制。 4. 点击“预定会议”，完成会议创建。 5. 会议创建成功后，可在您的会议列表中查看该会议。

本章节向您介绍利用VPN连接打造云间互联通道的搭建方案。 步骤1进入VPN连接产品控制台 在任意二类节点的控制中心，进入“VPN”产品控制台。 步骤2创建VPN网关实例 在需要云间互联的节点中，分别创建VPN网关。 VPN网关可根据自身网络业务特征，选择不同的VPN网关计费类型。 若需要长期不间断地传输大量数据，可选择按带宽计费方式 若仅需要短期或偶尔传输少量数据，可选择按流量计费方式 此最佳实践操作中，均选择按流量计费方式。VPN网关创建成功后，如下图所示。 步骤3创建VPN连接实例 在需要云间互联的节点中，分别创建VPN连接。 VPN连接需要填入远端网关以及远端子网信息，以及IPSec VPN加密隧道密钥。 VPN连接创建成功后，如下图所示。 步骤4互通性验证 在创建VPN网关的VPC子网中，创建2台弹性云主机实例。 云主机实例的安全组将VPN连接的远端子网进行放通。 放通后，以ping方式进行验证，具体如下图所示。 经过以上验证，可以证明以上的VPN连接已完成互通能力搭建，可进行点对点安全加密通信。

新增基线检查任务 1. 登录实例。 2. 在菜单栏选择“主机安全 > 基线检查”。 3. 单击“新增任务”。 4. 在弹出的新增任务窗口中，配置任务参数。 添加任务名称，选择对应终端，选择基线策略及执行时间。 5. 配置完成后，单击“确定”。 执行基线检查任务 在任务操作列，单击“执行”待扫描完成后查看扫描结果。 查看扫描结果 点击“查看”具体扫描结果展示。 如下图所示，根据终端名称风险项可查看具体风险建议及方法。

专属云下购买云主机有什么特点？ 特点如下： 安全稳定：在专属云内购买的云主机，与公有云隔离，独立占用宿主机资源，有效避免实例间资源争抢。 无需额外付费：计算专属云下购买云主机时仅支持按需购买，但计算资源不会产生额外费用。 是否可以在控制台上申请专属云服务？ 不可以。 目前专属云服务仅支持通过填写业务需求单或直接联系客户经理的方式进行申请。不支持直接在控制台上申请，具体申请流程如下： 1. 请向您的专属客户经理提交专属云的开通申请，如果没有专属客户经理请拨打天翼云客服电话4008109889 2. 我们会在一个工作日内与您确认专属云的使用需求。 3. 专属云资源将会在需求确认完成后48小时内开通，请您耐心等待。 4. 专属云开通后我们会告知您开通完成，您可以登录天翼云控制中心管理您的专属云资源。 如何查看专属云中宿主机服务器数量？ 天翼云提供两种查看专属云中宿主机服务器数量的方式： 1. 控制台：您可以登录天翼云控制台后进入专属云资源池，在云主机控制台概览页中，您可以查看专属云内宿主机数量及使用情况。 2. OpenAPI：您可以使用天翼云提供的OpenAPI查询专属云中宿主机数量，具体API请求及说明请参考查询存储池信息详情。

本章节主要介绍数据治理中心的配置Hive连接功能。 目前CDM支持连接的Hive数据源有以下几种： MRS Hive FusionInsight Hive Apache Hive MRS Hive 用户具有MRS Hive连接的表的访问权限时，才能在字段映射时看到表。 MRS Hive连接适用于云上的MapReduce服务。MRS Hive的连接参数如下表所示。 说明 l 新建MRS连接前，需在MRS中添加一个kerberos认证用户并登录MRS管理页面更新其初始密码，然后使用该新建用户创建MRS连接。 l 如需连接MRS 2.x版本的集群，请先创建2.x版本的CDM集群。CDM 1.8.x版本的集群无法连接MRS 2.x版本的集群。 l 由于当前CDM Hive连接是从MRS HDFS组件获取coresite.xml配置信息，所以在MRS侧使用的是Hive over OBS场景时，在创建Hive连接前，需要用户在MRS管理界面的HDFS组件中配置OBS的AK、SK信息。 l 需确保MRS集群和DataArts Studio实例之间网络互通，网络互通需满足如下条件： l DataArts Studio实例（指DataArts Studio实例中的CDM集群）与MRS集群处于不同区域的情况下，需要通过公网或者专线打通网络。通过公网互通时，需确保CDM集群已绑定EIP，MRS集群可以访问公网且防火墙规则已开放连接端口。 l DataArts Studio实例（指DataArts Studio实例中的CDM集群）与MRS集群同区域情况下，同虚拟私有云、同子网、同安全组的不同实例默认网络互通；如果同虚拟私有云但子网或安全组不同，还需配置路由规则及安全组规则，配置路由规则请参见 Type Ⅰ）> 添加路由信息”章节，配置安全组规则请参见 > 添加安全组规则”章节。 l 此外，还需确保该MRS集群与DataArts Studio工作空间所属的企业项目相同，如果不同，您需要修改工作空间的企业项目。 详见下表：MRS Hive连接参数 参数名 说明 取值样例 名称 连接的名称，根据连接的数据源类型，用户可自定义便于记忆、区分的连接名。 mrslink Manager IP MRS Manager的浮动IP地址，可以单击输入框后的“选择”来选定已创建的MRS集群，CDM会自动填充下面的鉴权参数。 127.0.0.1 认证类型 访问MRS的认证类型： SIMPLE：非安全模式选择Simple鉴权。 KERBEROS：安全模式选择Kerberos鉴权。 SIMPLE Hive版本 Hive的版本。根据服务端Hive版本设置。 HIVE3X 用户名 选择KERBEROS鉴权时，需要配置MRS Manager的用户名和密码。从HDFS导出目录时，如果需要创建快照，这里配置的用户需要HDFS系统的管理员权限。 如果要创建MRS安全集群的数据连接，不能使用admin用户。因为admin用户是默认的管理页面用户，这个用户无法作为安全集群的认证用户来使用。您可以创建一个新的MRS用户，然后在创建MRS数据连接时，“用户名”和“密码”填写为新建的MRS用户及其密码。 说明 如果CDM集群为2.9.0版本及之后版本，且MRS集群为3.1.0及之后版本，则所创建的用户至少需具备Managerviewer的角色权限才能在CDM创建连接；如果需要对应组件的进行库、表、数据的操作，还需要添加对应组件的用户组权限。 如果CDM集群为2.9.0之前的版本，或MRS集群为3.1.0之前的版本，则所创建的用户需要具备Manageradministrator或Systemadministrator权限，才能在CDM创建连接。 仅具备Managertenant或Managerauditor权限，无法创建连接。 cdm 密码 访问MRS Manager的用户密码。 OBS支持 需服务端支持OBS存储。在创建Hive表时，您可以指定将表存储在OBS中。 否 运行模式 “HIVE3X”版本支持该参数。支持以下模式： EMBEDDED：连接实例与CDM运行在一起，该模式性能较好。 STANDALONE：连接实例运行在独立进程。如果CDM需要对接多个Hadoop数据源（MRS、Hadoop或CloudTable），并且既有KERBEROS认证模式又有SIMPLE认证模式，只能使用STANDALONE模式或者配置不同的Agent。 说明 STANDALONE模式主要是用来解决版本冲突问题的运行模式。当同一种数据连接的源端或者目的端连接器的版本不一致时，存在jar包冲突的情况，这时需要将源端或目的端放在STANDALONE进程里，防止冲突导致迁移失败。 EMBEDDED 检查Hive JDBC连通性 是否需要测试Hive JDBC连通性。 否 是否使用集群配置 用户可以在“连接管理”处创建集群配置，用于简化Hadoop连接参数配置。 否 属性配置 其他Hive客户端配置属性。 单击“显示高级属性”，然后单击“添加”，您可以添加客户端的配置属性。所添加的每个属性需配置属性名称和值。对于不再需要的属性，可单击属性后的“删除”按钮进行删除。

本文介绍CCE容器集群拉取本地私有仓库镜像权限不足问题。 问题背景 用户自己搭建了一套harbor镜像仓库，并购买了天翼云的容器引擎产品。用户需要cce集群能够使用用户本地搭建的harbor镜像仓库中的镜像。 操作前提 保证该harbor仓库所在网络与cce容器引擎集群的网络是联通的 解决方案 准备好仓库的ca.crt文件 在初期进行harbor私有仓库搭建的时候，为了保证对于harbor的安全使用，对harbor的https访问进行配置，为了能够使cce集群拉取harbor的镜像，我们需要搭建harbor仓库时所使用的CA证书。证书通常存放在Harbor主机上的docker 证书目录：/etc/docker/certs.d/harbor域名/中，在/etc/docker/certs.d/harbor域名/ 中存放着我们所需要的文件：ca.crt 在cce集群上创建存放证书的文件夹 执行以下命令，创建文件夹，用于存放证书文件： mkdir p /etc/docker/certs.d/harbor域名/ 拷贝证书文件到指定文件夹 登陆本地harbor主机，将CA文件拷贝到集群主机指定文件夹下，执行以下命令： scp r /etc/docker/certs.d/harbor域名/ca.crt root@集群主机IP:/etc/docker/certs.d/harbor域名/ 验证 登陆集群节点，再集群节点上进行操作。 方法一：重新部署相关服务，验证是否能够正常拉取镜像。 方法二：通过登陆harbor仓库，执行拉取镜像操作： docker login harbor域名 docker pull 仓库名/镜像名:镜像tag

本章节指导用户下载并安装文件备份的客户端。 操作说明 用户在进行文件备份前，需先在目标服务器或虚拟机上更改安全组和安装客户端。 目前仅支持64位操作系统的主机，暂不支持32位操作系统的主机。 Linux操作步骤 1. 登录云服务备份控制台。 1. 登录管理控制台。 2. 单击管理控制台左上角的，选择区域。 3. 单击“”，选择“存储 > 云服务备份 > 文件备份”。 2. 在文件备份界面，选择“文件备份”页签。单击“新增备份客户端”，操作系统选择“Linux”。 3. 使用root账号登录目标主机。 4. 在主机输入 curl kv obs. 命令，如果能正常返回网络时延数据则表示连通性正常。Region ID是根据用户所选择的区域，例如广州4的Region ID为cngzgd1。 5. 完善云服务备份控制台界面的安装命令。 /bin/bash c "$(curl kfsSL ID.obs.Region ID.ctyun.cn/deploy/cbragent/installcbragent.sh)" a {} s {} p 1137769eeeXXXXXXXXXXXXXXX c cbr.Region ID.ctyun.cn o obs.Region ID.ctyun.cn region id：可以复制安装界面的Region ID。 在命令的“a {}”和“s {}”的“{}”中分别替换为您账号中的AK、SK。替换AK、SK后，{}无需再进行保留。如何获取AKSK。 6.在主机中执行复制好的命令安装客户端。 7.安装完成后，如果回显提示安装成功，则表示安装完成且成功。 8.等待1分钟左右即可在“云服务备份 > 文件备份 > 文件备份”资源列表中查看客户端。状态为“正常”，则表示云服务备份成功发现客户端且运行正常。

本章节主要向您介绍什么是IP地址组。 IP地址组 IP地址组是一个或者多个IP地址的集合，可关联至安全组、网络ACL，用于简化网络架构中IP地址的配置和管理。 对于需要统一管理的IP网段、单个IP地址，您可以将其添加到一个IP地址组内。IP地址组无法独立使用，需要将IP地址组关联至对应的资源，可关联IP地址组的资源说明如下表所示。 资源 说明 示例 安全组 添加安全组规则的时候，源地址和目的地址可以选择IP地址组。 如下图所示，安全组sgA的的入方向规则的源地址使用IP地址组ipGroupA。 网络ACL 添加网络ACL规则的时候，源地址和目的地址可以选择IP地址组。 如下图所示，网络ACLfwA的入方向规则的源地址使用IP地址组ipGroupA。 IP地址组应用示例 对于安全策略相同的多个IP地址，您可以将其添加到一个IP地址组内统一管理，并在安全组内添加针对该IP地址组的授权规则。当IP地址发生变化时，您只需要在IP地址组内修改IP地址，那么IP地址组对应的安全组规则将会随之变更，无需逐次修改安全组内的规则，降低了安全组管理的难度，提升效率。 IP地址组的使用限制 对于关联IP地址组的安全组，其中IP地址组相关的规则对某些类型的云主机不生效，不支持的规则如下： 通用计算型（S1型、C1型、C2型 ） 内存优化型（M1型） 高性能计算型（H1型） GPU加速型（G1型、G2型） 在网络ACL的规则中使用IP地址组时，有以下限制： 对于入方向规则，源地址和目的地址只能有一方使用IP地址组。 对于出方向规则，源地址和目的地址只能有一方使用IP地址组。比如网络ACL入方向规则中的源地址已使用IP地址组，则目的地址只能是IP地址，无法选择IP地址组。

AOne会议的一键直播功能支持将会议内容实时转播给大量观众,适合大型培训、公开课、发布会等场景。 开启直播 1. 用户入会后，主持人/联席主持人点击底部工具栏的“直播”按钮。 2. 在弹出的窗口中，选择直播观看范围： 1. 仅企业内成员可看（仅与会议创建者归属同企业的用户可观看直播） 2. 全网登录用户可看（已登录AOne会议账号的用户均可观看直播） 3. 全网无需登录可看（未登录AOne会议账号的用户也可观看直播） 3. 可设置直播观看密码，提升会议隐私保护。此密码仅用于限制直播观看权限，无法阻止未授权用户加入会议。如果不希望无关人员加入会议，可另外设置入会密码，或使用安全模块中的“会议锁定”和“入会范围”功能。 4. 可设置开启直播弹幕，提升直播观看体验。未登录的用户观看直播时，无法发送弹幕也无法查看他人发送的弹幕消息。 5. 点击“确定”，启动直播。直播开启后将弹窗提醒会中所有参会者。 直播管理 直播开启后，系统会弹窗提醒直播发起者直播观看链接。直播发起者可直接点击弹窗中的“复制链接”按钮将直播观看链接信息分享给目标观众。在直播过程中，会议主持人/联席主持人也可通过将鼠标悬浮在窗口左上角的直播图标上，点击“复制链接”按钮获取直播观看链接信息。 观众可通过浏览器访问直播观看链接，即可实时观看会议直播，无需额外安装客户端。 针对有直播权限的会议的会议创建者，会前点击分享按钮或者在会议列表单击此会议空白区域，支持复制直播信息。

网关规格 基础版 标准版1 标准版2 标准版3 企业版1 企业版2 企业版3 铂金版1 铂金版2 铂金版3 铂金版4 客户端连接数 安全水位 14000 28000 56000 112000 224000 448000 660000 880000 1760000 2640000 3080000 客户端连接数 警戒水位 28000 56000 112000 224000 448000 896000 1320000 1760000 3520000 5280000 6160000 HTTPS每秒新建连接数 安全水位 500 1000 2000 4000 8000 16000 24000 32000 64000 96000 120000 HTTPS每秒新建连接数 警戒水位 1000 2000 4000 8000 16000 32000 48000 64000 128000 192000 240000 CPU使用率 安全水位 30% 30% 30% 30% 30% 30% 30% 30% 30% 30% 30% CPU使用率 警戒水位 60% 60% 60% 60% 60% 60% 60% 60% 60% 60% 60% 内存使用率 安全水位 75% 75% 75% 75% 75% 75% 75% 75% 75% 75% 75% 内存使用率 警戒水位 75% 75% 75% 75% 75% 75% 75% 75% 75% 75% 75%

本文为您介绍如何用curl命令接天翼云云搜索服务Elasticsearch实例。 概述 使用 Curl 是最简单直接的方式访问Elasticsearch实例。它允许用户通过命令行发送HTTP/HTTPS请求与集群进行交互，例如创建索引、查询集群状态等操作。 前提条件 已开通天翼云云搜索服务Elasticsearch实例。 实例已绑定公网IP。具体可参考“实例公网访问”章节。 本地已安装Curl工具。 操作步骤 实例使用HTTP协议访问Elasticsearch实例 plaintext curl u : " user：Elasticsearch实例用户名，比如admin。 password：该用户密码，比如用户配置的Elasticsearch实例admin用户密码。 host：主机IP，即实例绑定的公网IP。 port：端口号，一般是9200。 实例使用HTTPS协议访问Elasticsearch实例 方式一：忽略证书校验（适用于自签名证书或快速测试） 在使用自签名证书时，可以使用k 或 insecure 参数跳过安全校验： plaintext curl u k : " 方式二：指定证书访问（推荐生产环境） 为了保证通信的绝对安全，推荐通过cacert 参数指定根证书的绝对路径来进行访问： plaintext curl u : " cacert /path/to/your/ca.pem 证书可以从云搜索服务控制台 “安全设置”页面下载。

Logstash部署在弹性云主机上时导入数据 当Logstash部署在同一VPC的弹性云主机时，导入数据的流程说明如下图所示。 Logstash部署在弹性云主机上时导入数据示意图 1.确保已部署Logstash的弹性云主机与待导入数据的集群在同一虚拟私有云下，已开放安全组的9200端口的外网访问权限，且弹性云主机已绑定弹性IP。 说明 如果同一个VPC内有多台服务器，只要其中一台绑定了弹性IP，其他的服务器可以不需要绑定弹性IP。通过绑定弹性IP的节点跳转到部署Logstash的节点即可 。 如果有专线或者VPN，也不需要绑定弹性IP。 2.使用PuTTY登录弹性云主机。 例如此服务器中存储了需要导入的数据文件“access20181029log”，文件存储路径为“/tmp/accesslog/”，此数据文件中包含的数据如下所示： All Heap used for segments 18.6403 MB All Heap used for doc values 0.119289 MB All Heap used for terms 17.4095 MB All Heap used for norms 0.0767822 MB All Heap used for points 0.225246 MB All Heap used for stored fields 0.809448 MB All Segment count 101 All Min Throughput indexappend 66232.6 docs/s All Median Throughput indexappend 66735.3 docs/s All Max Throughput indexappend 67745.6 docs/s All 50th percentile latency indexappend 510.261 ms 3.执行如下命令在Logstash的安装目录下新建配置文件logstashsimple.conf。 cd / / vi logstashsimple.conf 在配置文件logstashsimple.conf中输入如下内容。 input { 数据所在的位置 } filter { 数据的相关处理 } output { elasticsearch{ hosts > " "} } input：指明了数据的来源。实际请根据用户的具体情况来设置。 filter：对日志进行了提取和处理，将非结构化信息转换为结构化信息。 output：指明了数据的目的地址。 为集群中节点的内网访问地址和端口号。 当集群包含多个节点时，为了避免节点故障，建议将上述命令中 替换为该集群中多个节点的内网访问地址和端口号，多个节点的内网访问地址和端口号之间用英文逗号隔开，填写格式请参见如下示例。 hosts > ["192.168.0.81:9200","192.168.0.24:9200"] 当集群只包含一个节点时，填写格式请参见如下示例。 hosts > "192.168.0.81:9200" 以步骤2中“/tmp/accesslog/”的数据文件为例，输入数据文件从首行开始，且过滤条件保持为空，即不做任何数据处理操作。需导入数据的集群，其节点内网访问地址和端口号为“192.168.0.81:9200”。导入数据的索引名称为“myindex”。配置文件的示例如下所示，配置文件按实际数据情况修改完成后，输入“:wq”保存。 input { file{ path > "/tmp/accesslog/" startposition > "beginning" } } filter { } output { elasticsearch { hosts > "192.168.0.81:9200" index > "myindex" documenttype > "mytype" } } 如果集群开启了安全模式，则需要先下载证书。 a. 在集群基本信息页面下载证书。 详见下图：下载证书 b. 将下载的证书存放到部署logstash服务器中。 c. 修改配置文件logstashsimple.conf。 以步骤2中“/tmp/accesslog/”的数据文件为例，输入数据文件从首行开始，且过滤条件保持为空，即不做任何数据处理操作。跳转主机的公网IP和端口号为“192.168.0.227:9200”。导入数据的索引名称为“myindex”，证书存放路径为“/logstash/logstash6.8/config/CloudSearchService.cer”。配置文件的示例如下所示，配置文件按实际数据情况修改完成后，输入“:wq”保存。 input{ file { path > "/tmp/accesslog/" startposition > "beginning" } } filter { } output{ elasticsearch{ hosts > [" index > "myindex" user > "admin" password > "" cacert > "/logstash/logstash6.8/config/CloudSearchService.cer" } } 说明 password：登录安全集群的密码 。 4.执行如下命令将Logstash收集的弹性云主机的数据导入到集群中。 ./bin/logstash f logstashsimple.conf 5.登录云搜索服务管理控制台。 6.在左侧导航栏中，选择“集群管理”，进入集群列表页面。 7.在集群列表页面中，单击待导入数据的集群“操作”列的“Kibana”。 8.在Kibana的左侧导航中选择“Dev Tools”，单击“Get to work”，进入Console界面。 9.在已打开的Kibana的Console界面，通过搜索获取已导入的数据。 在Kibana控制台，输入如下命令，搜索数据。查看搜索结果，如果数据与导入数据一致，表示数据文件的数据已导入成功。 GET myindex/search

托管检测与响应服务（原生版）企业版升级操作步骤说明，帮助您了解如何扩展托管云主机数量。 企业版支持升级托管资产数，在服务概览界面，点击升级进入企业版升级页面进行托管资产数升级，用户可在【升级内容】栏根据自身需求选择要增加的资产数。然后点击立即购买并支付。 操作步骤 1. 登录托管检测与响应服务（原生版）控制台。 2. 点击企业版服务列表内的“升级”按钮，跳转到企业版升级界面。 3. 在企业版升级页面，输入“扩展托管云主机”，并点击“立即购买“按钮，跳转到支付页面。 4. 在“支付”页面，请选择付款方式进行付款。 5. 付款成功后，返回产品控制台，查看扩展结果。 6. 订购完成后，24小时内，我们的服务经理会与您取的联系。

天翼云EMR实例DeepSeekR1DistillQwen7B蒸馏模型部署实践 本节内容主要介绍如何在天翼云EMR实例上，基于Intel® xFasterTransformer加速库和vllm推理引擎完成模型部署，并展示相关性能指标。 1. 服务部署 为了方便用户使用，天翼云联合英特尔制作了一键部署的云主机镜像，内置DeepSeekR1DistillQwen7B模型、vLLM推理框架、xFT加速库以及openwebui前端可视环境。您可在天翼云控制台选择下列资源池和镜像，开通云主机进行体验。 类型 可用资源 可用资源池 华东华东1az2、华东华东1az3 可用规格 c8e系列（最低内存需求32G） 可用镜像 DeepSeekvLLM英特尔AMX推理加速(CPU) 完成云主机开通后，推理服务会在5分钟内自动启动，您无需进行任何其他操作。 注意 如需在云主机外访问服务，您需要绑定弹性IP，并在安全组内放行22/3000/8000端口。 2. 模型使用 openwebui前端使用 镜像已内置openwebui，并已完成和vllm的连接配置，可直接通过以下地址进行访问: plaintext 注意 1. 首次打开页面时，您需要先完成管理员注册，以进行后续的用户管理。注册数据均保存在云实例的/root/volume/openwebui目录下。 2. 如果首次打开对话页面时没有模型可供选择,请您稍等几分钟让模型完成加载即可。 vllm api调用 镜像内置vllm服务可直接通过如下地址访问： plaintext

本文为您介绍如何防止实例被暴力破解。 以下是一些有效的防护措施： 1. 修改公网SSH登录的端口：不要使用系统默认的22端口，建议改成一个较大不常见的端口号，以减少被暴力攻击的可能性；或者使用NAT网关，配置DNAT规则，使用一个较大不常见的端口号，以减少被暴力攻击的可能性。 2. 关闭SSH密码登录：使用密钥登录代替密码登录，关闭SSH密码登录功能和root登录账号，并设置密钥登录。 3. 设置强密码：密码应包含大小写字母、数字和特殊符号的组合，并避免使用常见的单词或短语。 4. 更新系统和应用程序：及时更新系统和应用程序，安装最新的安全补丁和更新，以修复已知漏洞。 5. 启用安全组和云防火墙：限制SSH登录的IP范围，仅允许从可信的IP地址进行访问，并配置和使用防火墙，限制对服务器的入站和出站流量，只允许必要的网络流量通过。 6. 定期检查和更新服务器：设置定期的更新和安全检查任务，及时修补已知的安全漏洞，防止攻击者利用旧版软件中的漏洞进行攻击。 7. 开通主机安全防护产品：服务器安全卫士（原生版）提供暴力破解保护功能，可自动拦截异常登录尝试。实时监控暴力破解口令行为，发现爆破行为自动拦截。

内网出访流量 紫色路径：业务ECS→GWLBE→云防火墙→NAT 网关→互联网。 策略配置原则：“按需放行，禁止无关出访”； 允许策略：仅开放业务必要的出访地址/ 端口（如允许 ECS 访问 OSS 的域名、访问第三方 API 的固定IP）； 拒绝策略：禁止访问高危IP 网段（如已知恶意 IP 库）、禁止 P2P 下载、视频网站等非业务流量。 带宽管控：通过NAT 网关配置带宽上限（如 100Mbps），避免单业务占用过多带宽影响其他服务。 VPC 间互访流量 黄色路径：vpc1/vpc2→云企业路由器→GWLBE→云防火墙→云企业路由器→目标 VPC。 策略配置原则：“按业务关联度放行”； 允许策略：仅开放跨VPC 业务依赖的端口； 拒绝策略：禁止无业务关联的VPC 互访。 VPC 与云专线互访流量 绿色路径：业务 VPC→云企业路由器→GWLBE→云防火墙→云企业路由器→云专线网关→线下网络。 策略配置原则：“双向管控，匹配线下安全策略”； 入访（线下→VPC）：仅允许线下办公网段访问 VPC 的业务端口（如线下财务网段访问 VPC 的 ERP系统端口）； 出访（VPC→线下）：仅允许VPC的业务子网访问线下数据库、文件服务器的必要端口。 加密传输：若传输敏感数据（如用户信息），可在云专线基础上开启IPsec VPN加密，避免数据泄露。

本节主要介绍如何降低恶意访问风险。 应用场景 所有场景。 前提条件 开通对象存储（经典版）Ⅰ型服务。 具体操作 避免密码泄露 当账户密码泄露时，非法用户可能对OOS资源进行违法操作，或者合法用户以未授权的方式对OOS资源进行各类操作，这样会使数据外泄或费用激增，给数据安全带来极大的威胁。 注意 任何时候，都需要保存好自己的密码不泄露。 阻止公共访问权限 公共读写（PublicReadWrite）：任何人（包括匿名访问）都可以对该存储桶内的文件进行读/写/删除操作（包括Get、Put和Delete Object）。这有可能造成您数据的外泄以及费用激增，若被人恶意写入违法信息还可能会侵害您的合法权益，除特殊场景外，不建议您配置公共读写权限。 注意 如果想使用访问权限为公共读写的存储桶，请联系天翼云客服评估审核后开通此功能。 公共读（PublicRead）：只有根用户和具有相应权限的子用户可以对该Bucket内的Object进行写操作（包括Put和Delete Object）。任何人（包括匿名访问）都可以对该Bucket内的Object进行读操作，这有可能造成您数据的外泄以及费用激增，请慎用该权限。 鉴于公共读或者公共读写权限对OOS资源带来的数据安全风险和费用考虑，强烈建议您将Bucket权限设置为私有（private）。设置为私有权限后，只有根用户和具有相应权限的子用户可以对该Bucket内的文件进行读写操作（包括Put、Delete和Get Object），其他人（包括匿名访问）只有通过Bucket Policy授权或分享链接才可访问该Bucket内的文件。 您可以通过多种方式将Bucket的读写权限设置为私有，详见查看/修改存储桶属性或PUT Bucket。