本节介绍服务器安全卫士(原生版)基线检测操作指南。 对服务器操作系统、数据库、关键应用软件配置等进行检测，帮助用户提前识别出可能导致安全漏洞的不安全配置项，例如不必要的服务开启、过时的软件版本、未启用的安全特性等。通过基线检测，可以及时发现并修复这些潜在的安全风险。 版本限制 仅企业版、旗舰版支持基线检测功能。 新建基线检测策略 基线检测设置分为一键检测和定时检测。当您需要进行基线检测时，先设置您需要的基线策略。 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“风险管理 > 基线检测”，进入基线检测页面。 3. 单击“策略管理”，进入策略管理页面。 该页面展示了已经设置好的基线策略，包括策略名称、检查周期、检测服务器数、创建日期、策略开关和操作。可以新建、编辑和删除基线策略。 4. 单击“新建策略”，页面右侧弹出新建基线策略窗口。 5. 设置策略名称、检查时间、选择基线名称和服务器。 6. 设置完成后，单击“确认”即可完成新建基线策略。 编辑基线检测策略 若您需要对已有的基线策略进行编辑，点击该策略操作列中的“编辑”，可以修改策略的所有信息，包括策略名称、检查时间、已选择的基线名称和服务器，修改完成后点击“确认”即可完成基线策略编辑。 删除基线检测策略 若您需要删除已有的基线策略，点击该策略操作列中的“删除”，在提示框中点击“确认”即可完成基线策略删除。

本章节主要介绍翼MapReduce的多租户功能。 定义 多租户是MRS集群中的多个资源集合（每个资源集合是一个租户），具有分配和调度资源的能力。资源包括计算资源和存储资源。 背景 现代企业的数据集群在向集中化和云化方向发展，企业级大数据集群需要满足： 不同用户在集群上运行不同类型的应用和作业（分析、查询、流处理等），同时存放不同类型和格式的数据。 某些类型的用户（例如银行、政府单位等）对数据安全非常关注，很难容忍将自己的数据与其他用户的放在一起。 这给大数据集群带来了以下挑战： 合理地分配和调度资源，以支持多种应用和作业在集群上平稳运行。 对不同的用户进行严格的访问控制，以保证数据和业务的安全。 多租户将大数据集群的资源隔离成一个个资源集合，彼此互不干扰，用户通过“租用”需要的资源集合，来运行应用和作业，并存放数据。在大数据集群上可以存在多个资源集合来支持多个用户的不同需求。 对此，MRS企业级大数据集群提供了完整的企业级大数据多租户解决方案。 优势 合理配置和隔离资源 租户之间的资源是隔离的，一个租户对资源的使用不影响其他租户，保证了每个租户根据业务需求去配置相关的资源，可提高资源利用效率。 测量和统计资源消费 系统资源以租户为单位进行计划和分配，租户是系统资源的申请者和消费者，其资源消费能够被测量和统计。 保证数据安全和访问安全 多租户场景下，分开存放不同租户的数据，以保证数据安全；控制用户对租户资源的访问权限，以保证访问安全。

开源对比 相较于开源自建RabbitMQ，分布式消息服务RabbitMQ在低成本运维、堆积性、可观测性、集群可用性、安全保证、操作日志、OpenApi访问等方面更具优势。 对比项 开源自建 分布式消息服务RabbitMQ版 低成本运维 需要专业人员资源规划、部署、运维 一键开通，全托管。提供多种规格，按需使用，支持一键式节点数、磁盘存储空间和节点规格扩容。 堆积性 抗堆积性差，容易引发内存问题导致宕机 提供云原生引擎类型，支持海量消息堆积不受影响 可观测性 通过Management UI能够获取丰富的指标，但需要自建指标存储及展示的系统 提供监控告警能力，指标丰富，维度可精确到Vhost、Exchange和Queue，便于您快速发现和定位问题 集群可用性 需配套解决集群多节点负载均衡设置 集群内置负载均衡，支持跨AZ部署 安全保证 需要自行进行安全加固 VPC隔离，支持SSL通道加密 操作日志 无，需要自己开发 可追溯租户管理操作的记录 OpenApi访问 无，需要自己开发 提供简单的实例管理RESTFul API，使用门槛低

推荐使用场景 工具 推荐场景 不适用场景 AnythingLLM 企业文档问答、私有知识库管理、需严格权限控制的团队协作 快速测试模型、轻量级个人聊天需求 Open WebUI 个人或开发者快速体验模型、多模型切换测试、多模态交互(如语音/图像) 复杂文档管理、企业级安全与协作需求 注意 建议使用天翼云提供的 DeepSeek 镜像创建云主机，减少安装过程中可能遇到的问题。镜像选择请参考在天翼云使用Ollama运行DeepSeek的最佳实践7B等版本弹性云主机最佳实践AIGC实践 天翼云。 操作步骤： 一、云主机端口配置更新 1. 进入云主机详情页，选择安全组选项，添加新的开放端口。 建议选择新加 3001 端口。添加完成后，可在安全组规则列表中查看新添加的 3001 端口规则，确认其状态为正常生效。 2.

本章介绍预防帐户暴力破解攻击方案。 帐户破解风险 一旦主机帐户被破解，入侵者就拥有了对主机的操作权限，主机上的数据将面临被窃取或被篡改的风险，企业的业务会中断，造成重大损失。 如何预防 配置SSH登录白名单 SSH登录白名单功能是防护帐户破解的一个重要方式，配置后，只允许白名单内的IP登录到服务器，拒绝白名单以外的IP。 开启双因子认证 双因子认证功能是一种双因素身份验证机制，结合短信/邮箱验证码，对云服务器登录行为进行二次身份认证。 在“双因子认证”页面，勾选需要开启双因子的主机，单击“开启双因子认证”，开启双因子认证。 修改默认端口 将默认的远程管理端口“22”、“3389”修改为不易猜测的其他端口。 设置安全组规则，限制攻击源IP访问您的服务端口 可实时检测攻击者对主机中帐户的暴力破解攻击，拦截攻击源IP。您可以通过配置安全组规则来限制攻击源IP访问您的服务端口。 说明 建议设置对外开放的远程管理端口（如SSH、远程桌面登录），只允许固定的来源IP进行连接。 如果是远程登录端口，您可以只允许特定的IP地址远程登录到弹性云服务器。 例：仅允许特定IP地址（例如，192.168.20.2）通过SSH协议访问Linux操作系统的弹性云服务器的22端口，安全组规则如下所示： 仅允许特定IP地址远程连接云服务器 方向 协议应用 端口 源地址 入方向 SSH（22） 22 例如：192.168.20.2/32

此小节介绍云堡垒机的系统配置。 系统配置概述 系统配置包括安全、网络、端口、外发、认证、工单、告警、审计、HA备份等配置。为确保系统安全运行，默认仅系统管理员admin可修改系统配置，整体管理系统运行状况。 安全配置，详情请参见登录安全管理。 网络配置，详情请参见网络配置。 端口配置，详情请参见端口配置。 外发配置，详情请参见外发配置。 认证配置，详情请参见远程认证管理。 工单配置，主要介绍工单配置的基本模式、高级模式、审批流程等，详情请参考工单配置管理。 告警配置，详情请参见告警配置。 系统风格，详情请参见系统风格。 网络配置 查看系统网络配置 本小节主要介绍如何查看系统网络接口、DNS地址、默认网关地址、静态路由等信息。 前提条件 已获取“系统”模块管理权限。 操作步骤 1 登录云堡垒机系统。 2 选择“系统 > 系统配置 > 网络配置”，进入系统网络配置管理页面。 网络配置 3 在“网络接口列表”区域，可以查看当前云堡垒机系统的相关网络接口信息。 默认不支持修改系统网络接口。 网络接口列表 4 在“DNS配置”区域，可以查看当前云堡垒机系统的首选DNS和备用DNS地址。 默认不支持修改系统DNS地址。 系统DNS地址 5 在“默认网关”区域，可查看当前云堡垒机系统的默认网关。 默认识别DHCP网关地址，且不支持修改默认网关。 4系统默认网关 6 在“静态路由配置”区域，可查看当前系统可以访问其他网段的服务器。 静态路由

实践 描述 变更规格 当使用的云堡垒机规格不能满足实际需求时，您可以选择对云堡垒机的规格进行变更规格。 系统策略 云堡垒机支持通过执行命令运维数据库，包括数据删除、修改、查看等运维操作。为确保数据库敏感信息的安全，避免关键信息的丢失和泄露，本文针对运维用户访问和运维数据库关键信息，详细介绍了如何设置数据库高危操作的复核审批，以及如何实现关键信息的重点监控。 等保合规 为客户提供一站式的安全解决方案，帮助客户快速、低成本完成安全整改，轻松满足等保合规要求。 系统运维 针对您的服务器资源分布在跨VPC、线下IDC机房、非华为云等跨网络域的场景，华为云堡垒机提供了通过网络代理服务器进行运维的方案，便于您在没有搭建网络专线的情况下，纳管各网络域的各类服务器资源，从而通过华为云堡垒机统一管理、运维您的各类工作负载。 运维审计 云堡垒机可以管控所有的操作，并对所有的操作都进行详细记录。针对会话的审计日志，支持在线查看、在线播放和下载后离线播放。目前支持字符协议（SSH、TELNET）、图形协议（RDP、VNC）、文件传输协议（FTP、SFTP、SCP）、数据库协议（DB2、MySQL、Oracle、SQL Server）和应用发布的操作审计。其中，字符协议和数据库协议能够进行操作指令解析，还原操作指令；文件传输能够记录传输的文件名称和目标路径。

本文主要介绍 容器如何访问VPC内部网络。 前面章节介绍了使用Service和Ingress访问容器，本节将介绍如何从容器访问内部网络（ VPC内集群外 ），包括VPC内访问和跨VPC访问。 VPC内访问 根据集群容器网络模型不同，从容器访问内部网络有不同表现。 容器隧道网络 容器隧道网络在节点网络基础上通过隧道封装网络数据包，容器访问同VPC下其他资源时，只要节点能访问通，容器就能访问通。如果访问不通，需要确认对端资源的安全组配置是否能够允许容器所在节点访问。 VPC网络 VPC网络使用了VPC路由功能来转发容器的流量，容器网段与节点VPC不在同一个网段，容器访问同VPC下其他资源时， 需要对端资源的安全组能够允许容器网段访问 。 例如集群节点所在网段为192.168.10.0/24，容器网段为172.16.0.0/16。 VPC下（集群外）有一个地址为192.168.10.52的ECS，其安全组规则仅允许集群节点的IP网段访问。 此时如果从容器中ping 192.168.10.52，会发现无法ping通。 kubectl exec test016cbbf97b78krj6h it /bin/sh / ping 192.168.10.25 PING 192.168.10.25 (192.168.10.25): 56 data bytes ^C 192.168.10.25 ping statistics 104 packets transmitted, 0 packets received, 100% packet loss 在安全组放通容器网段172.16.0.0/16访问。 此时再从容器中ping 192.168.10.52，会发现可以ping通。 $ kubectl exec test016cbbf97b78krj6h it /bin/sh /

功能 使用限制 数据库访问 如果关系型数据库实例没开通公网访问，则该实例必须与弹性云主机在同一个虚拟私有云内才能访问。 关系型数据库只读实例必须创建在与主实例相同的一个子网内。 弹性云主机必须处于目标关系型数据库实例所属安全组允许访问的范围内。 如果关系型数据库实例与弹性云主机处于不同的安全组，系统默认不能访问。需要在关系型数据库的安全组添加一条“入”的访问规则。 RDS for MySQL实例的默认端口为3306，需安全组放开后，才能访问其它端口。 部署 实例所部署的弹性云主机，对用户都不可见，即只允许应用程序通过IP地址和端口访问数据库。 数据库的root权限 创建实例页面只提供管理员root用户权限。 修改数据库参数设置 大部分数据库参数可以通过控制台进行修改。 RDS for MySQL存储引擎 MySQL数据库只有InnoDB存储引擎支持完整的备份、恢复等服务功能，因此RDS for MySQL推荐使用InnoDB引擎,不支持MyISAM引擎、FEDERATED引擎和Memory引擎。 搭建数据库复制 RDS for MySQL本身提供主备复制架构的双节点集群，无需用户手动搭建。其中主备复制架构集群的备实例不对用户开放，用户应用不可直接访问。 支持的表数量 RDS for MySQL支持表数量上限为50万。 大于50万张表时，会导致备份和小版本升级失败，影响数据库可用性。 重启RDS实例 无法通过命令行重启，必须通过关系型数据库服务的管理控制台操作重启实例。 创建只读实例 只有存储类型是极速型SSD的主备实例或者主实例才能创建存储类型是极速型SSD的只读实例。

本小节介绍终端杀毒如何扫描。 操作步骤 进入管理中心资产管理→虚拟机/终端页面，将需要扫描的虚拟机的安全配置中的实时防护状态关闭，恶意软件处理选择删除/隔离；在虚拟机页面，选择对应的虚拟机，点击安全检测→扫描制定目录，扫描完成会展示扫描成功字样。

本小节介绍终端杀毒如何扫描。 操作步骤 进入管理中心资产管理→虚拟机/终端页面，将需要扫描的虚拟机的安全配置中的实时防护状态关闭，恶意软件处理选择删除/隔离；在虚拟机页面，选择对应的虚拟机，点击安全检测→扫描制定目录，扫描完成会展示扫描成功字样。

本人账号已经在天翼云完成了实名认证，为什么使用短信服务仍需提交资质审核？ 账号的实名认证和云通信短信服务的资质审核用途不同，所以需要重新提交资质审核。 天翼云的账号实名认证，是确保您可以开通天翼云账号，正常使用订购业务。 云通信短信服务资质审核，是按照国家工信部和运营商的要求，在您使用短信服务时所申请的签名与资质需要进行认证和备案。 如何区分自用和他用？ 自用就是所使用的资质与账号主体资质一致。 他用就是代他人申请的资质，所使用的资质与账号主体不一致。 同一个账号可以提交多个资质吗？ 可以。 已审核通过的资质可以修改吗？ 已经通过审核的资质不支持修改企事业单位名称、企业信息和法人信息，只能修改经办人信息。 如果确实需修改资质的用途或企事业单位名称，则需要重新申请资质。 不更新不添加资质，会有影响吗？ 这个政策是根据工信管函【2023】794号等相关文件及基础电信运营商关于规范端口类短信业务经营行为和安全管理规范的规定，短信息内容提供者需要报备相关实名资质信息。 如果不提供，将无法在云通信平台新增新的短信签名。 原有已审核通过的签名会存在影响短信正常下发的风险。 新增资质需要提前准备哪些材料？ 类别 盖章件（红色） 自用 1、企业营业执照 （营业执照对应的编号，国家企业信用信息公示系统可查） 2、短信业务经办人身份证正反面 他用 1、企业营业执照 （营业执照对应的编号，国家企业信用信息公示系统可查） 2、短信业务经办人身份证正反面 3、授权委托书

安全相关 尽量避免数据库被公网访问，公网连接时必须绑定弹性公网IP。 尽量使用SSL连接，保证连接的安全性。

本节介绍态势感知的威胁告警功能简介。 背景信息 态势感知威胁告警功能汇集了多个安全服务的告警能力，按照告警类型和等级统一维度呈现，可以准确实时监控云上威胁攻击、检测您资产中的安全告警事件。 同时，通过威胁分析，从攻击源和受攻击资产两个维度，帮助您及时发现资产中的安全威胁、实时掌握您资产的安全态势。 态势感知威胁告警支持以下功能项： 告警列表：通过“实时监控”云上威胁告警事件，并接入HSS、WAF等服务上报的告警事件，提供告警通知和监控，记录近180天告警事件详情。 威胁分析：从“攻击源”或“被攻击资产”查询威胁攻击，统计威胁攻击次数或资产被攻击次数。 告警类型 目前SA支持检测8类威胁告警事件，共包括200+种子告警类型。 DDoS事件 “实时检测”互联网主机的DDoS攻击。 共支持检测100+种子类型的DDoS威胁。 网络层攻击：NTP Flood攻击、CC攻击等。 传输层攻击：SYN Flood攻击、ACK Flood攻击等。 会话层攻击：SSL连接攻击等。 应用层攻击：HTTP Get Flood攻击、HTTP Post Flood攻击等。 暴力破解事件 “实时检测”入侵资产的行为和主机资产内部的风险，检测SSH、RDP、FTP、SQL Server、MySQL等账户是否遭受的口令破解攻击，以及检测资产账户是否被破解异常登录。 共支持检测22种子类型的暴力破解威胁。 支持检测的暴力破解威胁 包括SSH暴力破解（2种）、RDP暴力破解、MSSQL暴力破解、MySQL暴力破解、FTP暴力破解、SMB暴力破解（3种）、HTTP暴力破解（4种）、Telnet暴力破解。 接入的HSS服务上报的告警事件 包括SSH暴力破解、RDP暴力破解、FTP暴力破解、MySQL暴力破解、IRC暴力破解、Webmin暴力破解、其他端口被暴力破解、系统被成功爆破事件。

场景3：利用海外或公有云IP发起CC攻击 在CC攻击中，经常出现攻击来源于海外IP、公有云IP和IDC机房IP的情况。我们可以通过识别这些IP防止CC攻击。 您可以使用访问控制功能，限制指定地理位置的IP对网站访问，如：限制除中国地区外的其他地区不可访问，从而阻止来自海外IP的攻击。 此外，WAF提供的Bot防护功能，可针对常见IDC IP库的IP进行访问拦截，如您需要开通此功能，可提交工单申请。 场景4：针对关键接口的CC攻击 关键接口CC攻击是指通过大量恶意请求网页环境的关键接口，如登录、注册等从而使服务不可用的攻击手段。针对此类攻击您可以使用WAF的账户安全防护功能（撞库防护、暴力破解），对指定接口进行防护，具体配置操作请参考：安全防护配置账户安全防护。 场景5：大规模扫描和爬取行为 大规模的恶意扫描行为会给服务器带来很大压力，除了限制访问请求频率外，您还可以使用以下几种防护配置加强防护效果： 攻击挑战：攻击挑战功能可发现在短时间内发起多次请求的IP，并在一段时间内阻断该IP的所有请求，具体配置操作请参考：安全配置防护高级防护攻击挑战。 扫描器访问拦截：该功能可自动封禁来自常见扫描工具访问请求，如您需要开通此功能，可提交工单申请。 Bot防护：Bot防护可限制对网站的大规模爬取行为，如您需要开通此功能，可提交工单申请。

本小节介绍DDoS攻击缓解最佳实践。建议客户通过以下方式缓解DDoS攻击带来的影响。 缩小暴露面 隔离资源和不相关的业务，降低被攻击的风险。 配置安全组，尽量避免将非业务必须的服务端口暴露在公网上，从而避免与业务无关的请求和访问。通过配置安全组可以有效防止系统被扫描或者意外暴露。 优化业务架构 利用公共云的特性设计弹性伸缩和灾备切换的系统。 科学评估业务架构性能 在业务部署前期或运营期间，技术团队应该对业务架构进行压力测试，以评估现有架构的业务吞吐处理能力，为DDoS防御提供详细的技术参数指导信息。 优化DNS解析 通过智能解析的方式优化DNS解析，可以有效避免DNS流量攻击产生的风险。同时，建议您将业务托管至多家DNS服务商，并可以从以下方面考虑优化DNS解析。 屏蔽未经请求发送的DNS响应信息 丢弃快速重传数据包 启用TTL 丢弃未知来源的DNS查询请求和响应数据 丢弃未经请求或突发的DNS请求 启动DNS客户端验证 对响应信息进行缓存处理 使用ACL的权限 利用ACL、BCP38及IP信誉功能 服务器安全加固 提升服务器自身的连接数等性能。 对服务器上的操作系统、软件服务进行安全加固，减少可被攻击的点，增大攻击方的攻击成本。 确保服务器的系统文件是最新的版本，并及时更新系统补丁。 对所有服务器主机进行检查，清楚访问者的来源。 过滤不必要的服务和端口。例如，对于WWW服务器，只开放80端口，将其他所有端口关闭，或在防火墙上设置阻止策略。

本章节主要介绍翼MapReduce的切换Ranger鉴权操作。 操作场景 新安装的安全模式集群默认即安装了Ranger服务并启用了Ranger鉴权，用户可以通过组件的权限插件对组件资源的访问设置细粒度的安全访问策略。若不需使用Ranger进行鉴权，管理员可在服务页面手动停用Ranger鉴权，停用Ranger鉴权后，访问组件资源时系统将继续基于FusionInsight Manager的角色模型进行权限控制。 从历史版本升级的集群，用户访问组件资源时默认不使用Ranger鉴权，管理员可在安装了Ranger服务后手动启用Ranger鉴权。 说明 安全模式集群中，支持使用Ranger鉴权的组件包括：HDFS、Yarn、Kafka、Hive、HBase、Storm、Spark2x、Impala。 非安全模式集群中，Ranger可以支持基于OS用户进行组件资源的权限控制，支持启用Ranger鉴权的组件包括：HBase、HDFS、Hive、Spark2x、Yarn。 启用Ranger鉴权后，该组件所有鉴权将由Ranger统一管理，原鉴权插件设置的权限将会失效（HDFS与Yarn的组件ACL规则仍将生效），请谨慎操作，建议提前在Ranger上做好权限部署。 停用Ranger鉴权后，该组件所有鉴权将由组件自身权限插件管理，Ranger上设置的权限将会失效，请谨慎操作，建议提前在Manager上做好权限部署。 启用Ranger鉴权 1. 登录FusionInsight Manager。 2. 选择“集群 > 服务”。 3. 单击服务视图中指定的服务名称。 4. 在服务详情页面单击“更多”，选择“启用Ranger鉴权”。 5. 输入当前登录的用户密码确认身份，单击“确定”。 6. 在服务列表，重启配置过期的服务。

Comfyui安全风险通告,请用户务必关注! 近日，监测到Comfyui及其插件 ComfyUIManager、ComfyUIImpactPack、ComfyUIBmadNodes 、ComfyUIAceNodes存在多个高危漏洞如：ComfyUI存储型XSS漏洞(CVE202410099)、ComfyUIManager远程代码执行漏洞(CVE202421574)、ComfyUIImpactPack目录遍历导致任意文件上传漏洞(CVE202421575)、ComfyUIBmadNodes代码注入漏洞(CVE202421576)、ComfyUIAceNodes代码注入漏洞(CVE202421577)。 影响范围： ComfyUI <0.2.2 ComfyUIManager < 2.51.1 ComfyUIImpactPack < 7.6.2 ComfyUIBmadNodes 全版本 ComfyUIAceNodes 全版本 在科研助手中使用Comfyui版本小于0.2.2的客户，请及时升级Comfyui版本或使用科研助手预装的最新版Comfyui镜像，并在使用第三方插件时注意插件安全风险。

本节介绍如何查看态势感知（专业版）内置插件及详细信息。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 插件管理”，进入插件管理页面。 5. 在插件管理页面中，查看插件详细信息。 左侧显示内置所有插件集、插件、函数信息。 如需查看某个查看详细信息，可以单击插件名称，右侧将展示插件的详细信息。 如果查看某个函数的详细信息，可以展开插件后，单击需要查看的函数名称，右侧将展示函数的详细信息。

使用资源编排ROS进行模板部署,模板文件内容具有如下约束与限制 1. 禁止使用的功能：不能使用Provisioners功能、Backend Configuration功能和Cloud功能。 2. requiredproviders限制:需要限制source，仅支持 "ctyunit/ctyun" 3. Module Sources功能支持范围：可以使用Module Sources功能，但仅支持Local Modules。 4. 禁用系统的参数：部分系统参数禁止使用，具体清单如下 path.module path.root path.cwd terraform.workspace 5. 禁止使用的函数：部分函数禁止使用，具体清单如下： abspath basename dirname file filebase64 filebase64sha256 filebase64sha512 fileexists fileset filemd5 filesha1 filesha256 filesha512 pathexpand templatefile

推荐使用场景 工具 推荐场景 不适用场景 AnythingLLM 企业文档问答、私有知识库管理、需严格权限控制的团队协作 快速测试模型、轻量级个人聊天需求 Open WebUI 个人或开发者快速体验模型、多模型切换测试、多模态交互(如语音/图像) 复杂文档管理、企业级安全与协作需求 注意 建议使用天翼云提供的 DeepSeek 镜像创建云主机，减少安装过程中可能遇到的问题。镜像选择请参考在天翼云使用Ollama运行DeepSeek的最佳实践7B等版本弹性云主机最佳实践AIGC实践 天翼云。 操作步骤： 一、云主机端口配置更新 1. 进入云主机详情页，选择安全组选项，添加新的开放端口。 建议选择新加 3001 端口。添加完成后，可在安全组规则列表中查看新添加的 3001 端口规则，确认其状态为正常生效。 2. 进入控制台，远程登陆即将安装AnythingLLM的云主机。

本章主要介绍使用软件开发生产线快速搭建项目（ECS篇） 本文基于软件开发生产线内置代码仓库，介绍如何使用软件开发生产线完成项目的开发、构建与部署，实现持续交付。 本文采用的ECS部署，若需了解CCE部署方法，请参考使用软件开发生产线快速搭建项目（CCE篇）。 准备工作 1. 拥有天翼云帐号。若没有，请先注册天翼云帐号。 2. 已购买软件开发生产线。 3. 已购买弹性IP。 4. 已购买云主机，购买时的必要配置可参考下表，表中未列出的配置可根据实际情况选择。完成购买后，参考“《云主机用户指南》​>安全​>安全组​>配置安全组规格”添加端口22及8080的入方向规则。 表 云主机配置 配置分类 配置项 配置建议 ::: 基础配置 计费模式 选择“按需计费”。 基础配置 CPU架构 选择“x86计算” 基础配置 规格 选择2核4G或以上规格。 基础配置 镜像 选择“公共镜像 > CentOS > CentOS 7.6 64bit(40GB)”。 网络配置 弹性IP 选择“使用已有”。 高级配置 登录凭证 选择“密码”。 高级配置 密码 输入自定义密码。

本文为您介绍IAM的产品功能。 IAM为您提供的主要功能包括：精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他帐号或者云服务管理资源等。 精细的权限管理 使用IAM，您可以将帐号内不同的资源按需分配给创建的IAM用户，实现精细的权限管理。 安全访问 您可以使用IAM为用户或者应用程序生成身份凭证，不必与其他人员共享您的帐号密码，系统会通过身份凭证中携带的权限信息允许用户安全地访问您帐号中的资源。 通过用户组批量管理用户权限 您不需要为每个用户进行单独的授权，只需规划用户组，并将对应权限授予用户组，然后将用户添加至用户组中，用户就继承了用户组的权限。如果用户权限变更，只需在用户组中移除用户或将用户添加进其他用户组，就可以实现快捷的用户授权。 委托其他帐号或者云服务管理资源 通过委托信任功能，您可以将自己的操作权限委托给其他天翼云帐号或者云服务，这些帐号或者云服务可以根据权限代替您进行日常工作。

云堡垒机支持管理哪些数据库？ 数据库引擎 引擎版本 Mysql 5.5、5.6、5.7、8.0 PostgreSQL 10、11、12、13 Oracle 10g、11g、12c DB2 10.5、11.5、12 达梦 V8 如何配置云堡垒机的安全组？ 参考安全组策略设置。 云堡垒机是否支持纳管非天翼云服务器？ 支持。 只要与云堡垒机网络可达并且协议支持，且云服务器操作系统在云堡垒机支持的操作系统清单，就可以通过天翼云云堡垒机纳管。 云堡垒机是否支持内网访问运维页面？ 支持。 云堡垒机提供绑定EIP功能，支持用户通过互联网远程直接运维资产。 同时云堡垒机自身也提供私网接入地址，用户可以通过vpn远程拨入云堡垒机实例所在vpc，然后使用云堡垒机实例私网地址接入运维内网资产。 租户是否能进入云堡垒机的操作系统？ 不可进入。 云堡垒机实例部署的服务器租户不可见，用户无法访问服务器操作系统，从而也避免进入操作系统破坏数据完整性，影响云堡垒机的安全合规。

操作步骤 1.进入CDM主界面，进入集群管理界面。选择CDM集群后的“作业管理 >连接管理 > 集群配置管理”。 2.在集群配置管理界面，选择“新建集群配置”，配置参数填写详见下图 集群配置名：根据连接的数据源类型，用户可自定义便于记忆、区分的集群配置名。 上传集群配置：单击“添加文件”以选择本地的集群配置文件，然后通过操作框右侧的“上传文件”进行上传。 Principal： 仅安全模式集群需要填写该参数 。Principal即Kerberos安全模式下的用户名，需要与Keytab文件保持一致。 上传Keytab文件： 仅安全模式集群需要上传该文件 。单击“添加文件”以选择本地的Keytab文件，然后通过操作框右侧的“上传文件”进行上传。 描述：用户可添加对此集群配置的描述，用于标识和区分该集群配置。 3.确认后集群配置新建成功。后续在新建Hadoop类型连接时，认证模式根据实际情况选择，将“是否使用集群配置”选择为“是”，然后选择对应的“集群配置名”，即可快速完成Hadoop类型连接创建。 详见下图：使用集群配置

本章节主要介绍使用Storm客户端 。 操作场景 该任务指导用户在运维场景或业务场景中使用Storm客户端。 前提条件 已安装客户端。例如安装目录为“/opt/hadoopclient”。 各组件业务用户由系统管理员根据业务需要创建。安全模式下，“机机”用户需要下载keytab文件。“人机”用户第一次登录时需修改密码。（普通模式不涉及） 操作步骤 1. 根据业务情况，准备好客户端，登录安装客户端的节点。 请根据客户端所在位置，参考“用户指南 > 使用MRS客户端 > 安装客户端”章节，登录安装客户端的节点。 2. 执行以下命令，切换到客户端安装目录。 cd /opt/hadoopclient 3. 执行以下命令配置环境变量。 source bigdataenv 4. 若安装了Storm多实例，在使用Storm命令提交拓扑时，请执行以下命令加载具体实例的环境变量，否则请跳过此步骤。例如，Storm2实例： source Storm2/componentenv 5. 执行以下命令，进行用户认证。（普通模式跳过此步骤） kinit 组件业务用户 6. 执行命令进行客户端操作。 例如执行以下命令： cql storm 说明 同一个storm客户端不能同时连接安全和非安全的ZooKeeper。

云堡垒机支持管理哪些数据库？ 数据库引擎 引擎版本 Mysql 5.5，5.6，5.7，8.0 PostgreSQL 10，11，12，13 Oracle 10g，11g，12c DB2 10.5、11.5、12 达梦 V8 如何配置云堡垒机的安全组？ 参考安全组策略设置。 云堡垒机是否支持纳管非天翼云服务器？ 支持。 只要与云堡垒机网络可达并且协议支持，且云服务器操作系统在云堡垒机支持的操作系统清单，就可以通过天翼云云堡垒机纳管。 云堡垒机是否支持内网访问运维页面？ 支持。 云堡垒机提供绑定EIP功能，支持用户通过互联网远程直接运维资产。 同时云堡垒机自身也提供私网接入地址，用户可以通过vpn远程拨入云堡垒机实例所在vpc，然后使用云堡垒机实例私网地址接入运维内网资产。 租户是否能进入云堡垒机的操作系统？ 不可进入。 云堡垒机实例部署的服务器租户不可见，用户无法访问服务器操作系统，从而也避免进入操作系统破坏数据完整性，影响云堡垒机的安全合规。

接口功能介绍 查询日志内容 接口约束 传参规范 URI POST /vfw/200000004263/v2getrawlog 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 urlType 是 String 请求地址类型 CTAPI loggroup 是 String 日志组id(防火墙id) fdfe9f25826949beb88cf0bc9df3e125 logunit 是 String 日志单元id(FLOW；IPS；AC；AV) fdfe9f25826949beb88cf0bc9df3e125FLOW page 是 Integer 页数 size 是 Integer 每页数量 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 startTime 是 String 开始时间 endTime 是 String 结束时间 keys 是 Array of Objects 查询条件 Key 表 Key 参数 是否必填 参数类型 说明 示例 下级对象 key 是 String 查询条件 ipproto value 是 String 查询条件的值 1 value1 否 String 查询条件的值（judgeMode6需要传） 1 judgeMode 是 Integer 比较模式 1：value；2：>value；3： value；5： value 且

来自：

帮助文档

云防火墙（原生版）

API参考

API

2023-10-16

日志管理

查询云墙日志内容

本文重点介绍为天翼云物理机创建备份的最佳实践简介。 方案介绍 当我们部署在物理机上的系统出现外部病毒入侵、人为误操作、业务软件Bug等故障场景时，可以通过云服务备份为物理机创建定期自动备份（备份周期最小为1小时）。当上述故障发生时，可通过备份进行快速恢复，避免数据丢失。 云服务备份将物理机的配置和所包含的多个云硬盘数据备份到高可靠性等级的对象存储服务中，保障用户的备份数据安全。 应用场景 企业核心数据库场景和政企金融高安全场景对数据安全性有苛刻要求，建议使用本方案对物理机进行备份，提升数据可靠性。 优势 简单：可以自定义策略进行在线备份，备份设置简单易操作。 高效：支持增量备份、增量恢复，RTO可达分钟级。 可靠：同时对所有云硬盘进行备份，不存在因备份创建时间差带来的数据不一致问题；对象存储服务的规格满足99.999999999%持久性标准。 约束与限制 不支持使用物理机的备份创建镜像。 不支持备份带有共享云硬盘的物理机。 恢复时，物理机会自动关机，将中断租户业务，关机后有一段时间物理机处于锁定状态，租户不可操作。 前提条件 1. 创建密钥对 为安全起见，物理机登录时建议使用密钥方式进行身份验证。因此，您需要使用已有密钥对或新建一个密钥对，用于远程登录身份验证。 2. 创建虚拟私有云 物理机使用虚拟私有云提供的网络，包括子网、安全组等。

本文主要介绍分布式消息服务RabbitMQ的产品优势。 天翼云分布式消息服务RabbitMQ完全兼容开源社区版本，旨在为用户提供便捷高效的消息队列。业务无需改动即可快速迁移上云，为您节省维护和使用成本。 一键式部署，免去集群搭建烦恼 专享实例只需要在实例管理界面选好规格配置，提交订单，后台将自动创建部署完成一整套RabbitMQ实例。 兼容开源，业务零改动迁移上云 兼容社区版RabbitMQ的API，具备原生RabbitMQ的所有消息处理特性。 业务系统基于开源的RabbitMQ进行开发，只需加入少量认证安全配置，即可使用天翼云分布式消息服务RabbitMQ，做到无缝迁移。 说明 RabbitMQ实例兼容开源社区RabbitMQ 3.8.35版本。 独占式体验 RabbitMQ实例采用物理隔离的方式部署，租户独占RabbitMQ实例，每个RabbitMQ之间互不影响。 高性能 单队列性能最高可达10万TPS（默认配置），增加队列可获得更高性能。 数据安全 独有的安全加固体系，提供业务操作云端审计，消息存储加密等有效安全措施。 在网络通信方面，除了提供SASL认证，还借助虚拟私有云（VPC）和安全组等加强网络访问控制。 无忧运维 天翼云提供一整套完整的监控告警等运维服务，故障自动发现和告警，避免724小时人工值守。RabbitMQ专享实例自动上报相关监控指标，如分区数、主题数、堆积消息数等，并支持配置监控数据发送规则，您可以在第一时间通过短信、邮件等获得业务消息队列的运行使用和负载状态。

配置项 描述 部署单元 勾选要发布的部署单元。 发布类型 支持普通发布和金丝雀发布。金丝雀发布支持按内容灰度、按流量灰度以及按泳道灰度。 发布批次 选择分批次数。仅普通发布才有该选项。 分批方式 支持手动和自动。手动：需要在变更记录手动点击执行下一批。自动：需要输入间隔，表示间隔多少分钟执行下一批发布。 首批灰度数 选择首批要发布的ECS实例个数。仅金丝雀发布才有该选项。 剩余批次 执行完灰度发布后剩余ECS实例的分批数。仅金丝雀发布才有该选项。

模型适配后的交付物有哪些？ 基于国产NPU的适配，交付适配模型镜像、权重、实践。 技术支持包含哪些内容？ 基础环境、训推过程中的故障定位、问题排查及支撑解决。 模型适配专家服务的交付周期是多久？ 交付周期根据模型复杂度和适配需求而定，通常在完成环境检查和适配评估后，团队会提供详细的时间计划，确保高效交付。 该服务如何算作完成交付？ 天翼云模型适配专家团队完成机器环境检查确认和模型适配，并交付所约定的模型适配镜像、权重、实践后，且提供针对已适配模型一个月的技术支持服务后，即视为完成交付。