参数 说明 示例 实例 选择分布式消息服务Kafka实例。 instancexxx Topic 选择分布式消息服务Kafka实例的Topic。 topic1 消息体 选择消息体（Body）的内容，更多信息请参考 完整事件 消息键值 选择消息键值（Key）的内容，更多信息请参考 空

参数 说明 策略配置方式 可视化视图 策略名称 自定义 策略内容 允许/拒绝 允许 策略内容 被授权用户 授权用户：匿名用户 用户策略：包含以上用户 策略内容 资源 资源范围：桶内对象，选择指定对象 资源路径：配置为需要访问的文件夹内的所有对象，如文件夹名称为“folder001”时，资源路径为“folder001/”。 资源策略：包含以上资源 策略内容 动作 选择动作：GetObject 操作策略：包含以上动作

操作步骤 步骤一：创建加密策略 开通翼加密后，通过天翼AI云电脑（政企版）控制台菜单找到“文件加密”——“加密策略管理”，点击“新建”即可自定义创建加密策略。 加密策略配置项说明如下所示： 策略内容 安全办公场景： 加密范围：文档文件全选 加密强度：标准 金融财务办公： 加密范围：文档文件全选 加密强度：最高 自定义设置：不预设加密范围和加密强度，完全由管理员自定义选择 加密范围 租户管理员可以根据具体的应用程序以及相应的文件格式类型，自定义配置加密文件的范围。 剪切板控制 开启后加密管控进程打开的文件无法复制粘贴内容到非加密管控进程，比如用WPS打开的word文档内的文字图片无法复制到微信，保证加密数据安全无泄漏。 加密管控进程之间的复制粘贴操作正常，如WPS打开的多个word文档之间允许复制粘贴。 加密强度 国密算法（旗舰版）：SM4，适用于有国密加密安全要求的政企部门或组织。 最高（旗舰版）：AES256，安全系数最高，适用对文件安全性要求高的场景。 高（旗舰版）：AES192，安全系数高，适用于对文件安全性有较高要求的场景。 标准（标准版）：AES128，基础的安全加密等级，能有效加密文件，防止文件数据外泄。 步骤二：分配加密策略 创建加密策略后，回到策略管理列表，点击右侧的“分配”，可自定义设置加密策略的适用范围。 加密策略可以按3个维度进行分配。 分配给部门：部门内的所有桌面将被分配上策略。并且该部门添加新的桌面时，新桌面也将分配上对应的加密策略。 分配给桌面池：桌面池内的所有桌面将被分配上策略。并且该桌面池添加新的桌面时，新桌面也将分配上对应的加密策略。 分配给桌面：加密策略也可以直接分配给桌面。 注意：当桌面分配的加密策略，与对应的桌面池、部门设置的加密策略冲突时，按桌面＞桌面池＞部门的优先级判断。即： 1.先判断桌面是否分配了加密策略，若有，则以桌面分配的加密策略为准； 2.若桌面没有分配加密策略，则判断桌面所属桌面池是否分配了加密策略，若有，则以桌面池分配的加密策略为准； 3.若桌面池也没有分配加密策略，则判断桌面所属部门是否分配了加密策略，若有，则以部门分配的加密策略为准。 步骤三：开启加密 分配好加密策略后，点击“文件加密”——“加密桌面管理”，就能看到所有被分配了加密策略的桌面。批量勾选列表中的桌面，点击列表顶部的“开启加密”按钮，即可开启AI云电脑加密保护。 开启加密的AI云电脑，所有新建、下载、接收及编辑保存的目标文件类型都将自动加密。 如果希望对AI云电脑内之前已经存在的文件进行加密，可以选择AI云电脑并点击“全盘加密” 全盘加密之前，将对AI云电脑先进行重启操作，请确保AI云电脑内文件已保存，并退出登录AI云电脑客户端。请不要将需要加密的AI云电脑关机。 全盘加密完成后，AI云电脑内已有的所有目标文件会被加密保护。并且后续AI云电脑编辑保存、接收、下载的所有目标类型文件将被自动加密保护。 注意：全盘加密/解密的持续时间与AI云电脑内的文件数有关，若AI云电脑内文件数较大，全盘加密/解密时间也相应更长。为了不影响AI云电脑正常使用，建议在晚上等不使用AI云电脑的时段进行全盘加密/解密操作。 步骤四：脱密审批流程设置 AI云电脑内的加密文件外发可以设置审批流程。打开“组织管理”——“审批流程”，点击“分管设置”，设置租户内各个部门的分管人员。部门内用户提交的脱密申请将由分管人员审批。 部门的分管人员若设置了多个，则部门内人员提交的脱密申请，按该部门分管人员列表从上到下的顺序进行审批。 若配置分管人员时发现部门人员与当前组织架构不符，可点击列表右上方的“同步组织机构”进行更新。 除此之外，脱密审批流程支持更加灵活的自定义配置。在“流程配置”中找到企业加密流程，点击“编辑”进行修改。 审批节点设置： 审批节点是阻塞节点，需审批人处理才能继续流程。 审批人若选择部门，则该部门的所有人都要处理该节点（不包括子部门人员）。 审批人若选择人员，则指定某个人或多个人处理该节点。 审批人若选择角色，则属于该角色的所有人员均要处理该节点。 审批人若选择人员部门控件，则可动态的选择审批人。 审批人还可通过函数逐层查找，包括：添加新的逐层经理函数，添加新的主管函数，添加角色查找函数。

本文介绍了如何配置网络层告警策略。 使用场景 业务接入DDoS高防（边缘云版）后，您可以设置告警策略，当攻击事件触发告警策略时，则产生告警记录并发送告警邮件（如配置），帮助您及时掌握业务的安全状态。 前提条件 已开通DDoS高防（边缘云版）。 说明 默认脱敏显示您的联系方式等敏感信息，点击明文显示时，请您注意保护数据安全！ 使用说明 1.登录DDoS高防（边缘云版）控制台。 2.进入【告警管理】【告警策略】页面。 新增告警策略 点击【新增】按钮，在弹框中配置策略内容，完成后点击左下角【新增】。 配置说明： 配置项 说明 告警名称 自定义告警名称 告警类型 选择网络层告警 告警条件 网络层告警支持配置： 持续XX分钟，则产生告警 攻击峰值超过XXkpps，则产生告警 攻击峰值超过XXMbps，则产生告警 支持勾选多条告警条件，当满足任一条件均会产生告警。 告警通知间隔 为避免告警策略被频繁触发，可设置告警通知间隔。当告警策略被触发后，在告警通知间隔事件内，若再次被触发，将不会产生告警记录。 勿扰时间 选填，在配置的勿扰事件范围内，将不会产生告警记录。 告警邮箱 接收告警的邮箱，支持配置多个邮箱，以分号隔开。 告警状态 是否启用该告警策略。若关闭，则告警策略不生效。 编辑告警策略 在策略列表操作栏，点击【编辑】按钮，可修改策略配置。 修改告警状态 您有两种方式可以修改告警状态： 1）点击【编辑】按钮，在编辑框中修改告警状态。 2）在策略列表，告警状态栏，直接开启或关闭告警状态。 删除规则 在策略列表操作栏，点击【删除】按钮，可删除策略配置。 注意 若告警策略的状态为开启，需先关闭后才能删除策略。

本小节介绍微隔离防火墙接入工作负载操作方法。 根据不同系统接入工作负载： Linux系统，在自动化安装处选择对应的Linux 系统版本复制生成的安装命令，生成安装命令后，点击复制按钮，粘贴至具备root 用户权限的命令行终端中，即可进行安装； Windows Serve，在自动化安装处选择对应的windows 系统版本，生成安装命令后，点击复制按钮，粘贴至具备管理员权限的cmd 中，即可进行安装； 也可以使用自动化运维工具进行批量安装。 登录页面查看agent是否接入成功，功能菜单→工作负载管理→工作负载，即可查看接入的工作负载。 注意 1. 执行安装命令，系统会自动到管理中心获取安装脚本，请确保安装客户端的工作负载与管理中心网络可达。 2. 安装脚本执行后自动判定系统版本，并从管理中心获取相应安装包。 3. Linux系统安装命令一致、Windows系统安装命令一致。 4. Agent 成功安装后，不会清空原有iptables 中的策略。后续产品添加安全策略会在iptables 最上层添加。若只在建设或测试模式下运行，可在安装命令后加nf true ，则不安装Agent 的微墙客户端（fwclient 防护模块）。 5.ubuntu在14.04之后的版本不支持root用户登录，可使用具备root权限的用户登录后执行。 6.由于系统可能进行了各类安全设置，例如不允许在root下执行sudo，不允许安装软件，不允许运行脚本，安装源不允许修改等，如遇到安装不成功时，可联系我方工程师进行协助。 根据以上内容可以快速进入管理中并将需要管控的工作负载接入到管理中心（QCC）,工作组和配置防护策略以及各个模块详细功能需要参看用户指南。

本节介绍了通过puttygen.exe工具创建的密钥对,导入管理控制台失败怎么办的问题描述、可能原因、处理方法。 问题描述 通过puttygen.exe工具创建的密钥对，在导入管理控制台使用时，系统提示导入公钥文件失败。 可能原因 公钥内容的格式不符合系统要求。 当用户使用puttygen.exe工具创建密钥对时，如果使用puttygen.exe工具的“Save public key”按钮保存公钥，公钥内容的格式会发生变化，不能直接导入管理控制台使用。 处理方法 使用本地保存的私钥文件，在“PuTTY Key Generator”中恢复内容格式正确的公钥文件，然后再将该公钥文件导入管理控制台。 1. 双击“PUTTYGEN.EXE”，打开“PuTTY Key Generator”。 图 PuTTY Key Generator 2. 单击“Load”，并在本地选择该密钥对的私钥文件。 系统将自动加载该私钥文件，并在“PuTTY Key Generator”中恢复格式正确的公钥文件内容，如下图所示，红框中的内容即为符合系统要求的公钥文件。 图 恢复公钥文件内容 3. 复制红框中的公钥内容，并将其粘贴在文本文档中，以.txt格式保存在本地，保存公钥文件。 4. 将公钥文件导入管理控制台。 a. 登录管理控制台。 b. 选择“计算 > 弹性云主机”。 c. 在左侧导航树中，选择“密钥对”。 d. 在“密钥对”页面，单击“导入密钥对”。 e. 将“.txt”格式文本文档中的公钥内容粘贴至“Public Key Content”的空白区域，并单击“OK”，导入公钥文件。

参数 类型 描述 是否必须 LogTimestamp int 时间戳，单位纳秒 是 OriginMsg string 原始日志内容 是 Contents map[string]any 日志内容，分词后的内容 否 Labels map[string]any 自定义标签 否

参数 类型 描述 是否必须 LogTimestamp int 时间戳，单位纳秒 是 OriginMsg string 原始日志内容 是 Contents map[string]any 日志内容，分词后的内容 否 Labels map[string]any 自定义标签 否

本文主要介绍通知类型。 功能说明 产品识别并针对不同性质的事件生成相应的消息通知。例如，套餐用量使用方面，当短信使用出现超量事件时，系统会自动生成对应的通知消息，消息通知需要由客户进行设定通知的方式、通知对象以便更及时的进行消息传递。 操作步骤 1. 登录边缘安全加速控制台，选择相应的控制台【AOne零信任】； 2. 在左侧导航栏，选择消息通知，进入相关页面进行操作； 3. 消息通知目前分为两个模块：通知类型，通知渠道，本文主要介绍通知类型能力。 套餐服务超量 基于零信任服务的计费相关内容，进行相应的服务超量时通知。 内置短信用量提醒 为助力您顺利开展业务，平台根据不同账号类型，为您赠送一定数量的免费短信额度，短信额度总量由企业下所有账号共享使用。在购买套餐或者扩展服务时，您将获得相应的免费短信配额，赠送额度自账号激活当月起生效，以自然月为周期，每月定期发放。详细赠送规则短信收费及使用说明。为避免您短信超量后影响服务，可先进行设定短信的使用量提醒。 配置项 配置项说明 通知开关 开启则按照条件进行相应通知，关闭则不通知。 触发条件 可设置短信用量达到一定比例时进行通知。 通知方式 目前支持短信、邮件进行相应通知。 谁会接收通知 请配置相应接收通知的人员。

本章节为您介绍API调用者相关内容。 API调用者（Consumer）是某类服务的调用者，需要与用户认证配合才可以使用。 如果路由、服务、API调用者都绑定了相同的插件，只有API调用者的插件配置会生效。 创建API调用者 1.登录API安全网关。 2.在左侧导航栏选择“资源 > API调用者”，进入API调用者列表页面。 3.单击页面左上角的“新增”按钮，开始新增API调用者。 字段 说明 API调用者名称 自定义API调用者名称，只能取唯一值。 描述 对新增的API调用者添加简要描述。 认证方式 选择身份认证方式，支持以下四种选择： 无认证：不开启身份认证方式。 Key认证：Key认证用于向API添加身份验证密钥。它需要与API调用者一起配合才能工作，通过API调用者将其密钥添加到查询参数或请求头中以验证其请求。 摘要签名认证：摘要签名认证可以将HMAC认证添加到服务。它需要与API调用者一起配合才能工作，通过API调用者将其密钥添加到查询参数或请求头中以验证其请求。 JWT认证：将JWT身份验证添加到服务中，通过API调用者将其密钥添加到查询字符串参数、请求头或Cookie中用来验证其请求。 4.添加完成后，单击“下一步”，进入插件配置环节，具体的插件功能请参照控制台说明，若需要启用插件单击对应插件下方的“启用”按钮即可启用。 5.完成插件配置后，单击“下一步”确认API调用者信息，若信息无误单击“保存”即可完成添加API调用者。

参数 说明 取值样例 优先级 安全组规则优先级。 优先级可选范围为1100，默认值为1，即最高优先级。优先级数字越小，规则优先级级别越高。 1 常见协议端口 提供常用的协议端口供您快速设置，选择类型如下： 远程登录和ping Web服务 数据库 SSH（22） 入方向 策略 安全组规则策略，支持的策略如下：如果“策略”设置为允许，表示允许源地址访问安全组内云主机的指定端口。 如果“策略”设置为拒绝，表示拒绝源地址访问安全组内云主机的指定端口。 安全组规则匹配流量时，首先按照优先级进行排序，其次按照策略排序，拒绝策略高于允许策略。 允许 出方向 策略 安全组规则策略，支持的策略如下：如果“策略”设置为允许，表示允许安全组内的云主机访问目的地址的指定端口。 如果“策略”设置为拒绝，表示拒绝安全组内的云主机访问目的地址的指定端口。 安全组规则匹配流量时，首先按照优先级进行排序，其次按照策略排序，拒绝策略高于允许策略。 允许 类型 支持的IP地址类型，如下： IPv4 IPv6 IPv4 入方向 协议端 安全组规则中用来匹配流量的网络协议类型，目前支持TCP、UDP、ICMP和GRE协议。 安全组规则中用来匹配流量的目的端口，取值范围为：1～65535。 在入方向规则中，表示外部访问安全组内实例的指定端口。 端口填写支持下格式： 单个端口：例如22 连续端口：例如2230 多个端口：例如22,2330，一次最多支持20个不连续端口组， 端口组之间不能重复。 全部端口：为空或165535。 TCP 22或2230或20,2230 出方向 协议 安全组规则中用来匹配流量的网络协议类型，目前支持TCP、UDP、ICMP和GRE协议。 安全组规则中用来匹配流量的目的端口，取值范围为：1～65535。 在出方向规则中，表示安全组内实例访问外部地址的指定端口。 端口填写支持下格式： 单个端口：例如22 连续端口：例如2230 多个端口：例如22,2330，一次最多支持20个不连续端口组， 端口组之间不能重复。 全部端口：为空或165535。 TCP 22或2230或20,2230 源地址 在入方向规则中，用来匹配外部请求的源地址，支持以下格式： IP地址 ：表示源地址为某个固定的IP地址。当源地址选择IP地址时，您可以在一个框内同时输入或者粘贴多个IP地址，不同IP地址以“,”隔开。一个IP地址生成一条安全组规则。 单个IP地址：IP地址/掩码。单个IPv4地址示例为192.168.10.10/32；单个IPv6地址示例为2002:50::44/128。 IP网段：IP地址/掩码。IPv4网段示例为192.168.52.0/24；IPv6网段示例为2407:c080:802:469::/64。 所有IP地址：0.0.0.0/0表示匹配所有IPv4地址；::/0表示匹配所有IPv6地址。 安全组 ：表示源地址为另外一个安全组，您可以在下拉列表中，选择同一个区域内的其他安全组。当安全组A内有实例a，安全组B内有实例b，在安全组A的入方向规则中，放通源地址为安全组B的流量，则来自实例b的内网访问请求被允许进入实例a。 IP地址组 ：表示源地址为一个IP地址组，IP地址组是一个或者多个IP地址的集合。您可以在下拉列表中，选择可用的IP地址组。对于安全策略相同的IP网段和IP地址，此处建议您使用IP地址组简化管理。 IP地址： 192.168.52.0/24，10.0.0.0/24 目的地址 在出方向规则中，用来匹配内部请求的目的地址。支持以下格式： IP地址 ：表示目的地址为某个固定的IP地址。当目的地址选择IP地址时，您可以在一个框内同时输入或者粘贴多个IP地址，不同IP地址以“,”隔开。一个IP地址生成一条安全组规则。 单个IP地址：IP地址/掩码。单个IPv4地址示例为192.168.10.10/32；单个IPv6地址示例为2002:50::44/128。 IP网段：IP地址/掩码。IPv4网段示例为192.168.52.0/24；IPv6网段示例为2407:c080:802:469::/64。 所有IP地址：0.0.0.0/0表示匹配所有IPv4地址；::/0表示匹配所有IPv6地址。 安全组 ：表示源地址为另外一个安全组，您可以在下拉列表中，选择同一个区域内的其他安全组。当安全组A内有实例a，安全组B内有实例b，在安全组A的入方向规则中，放通源地址为安全组B的流量，则来自实例b的内网访问请求被允许进入实例a。 IP地址组 ：表示源地址为一个IP地址组，IP地址组是一个或者多个IP地址的集合。您可以在下拉列表中，选择可用的IP地址组。对于安全策略相同的IP网段和IP地址，此处建议您使用IP地址组简化管理。 IP地址： 192.168.52.0/24，10.0.0.0/24 描述 安全组规则的描述信息，非必填项。描述信息内容不能超过255个字符，且不能包含“<”和“>”。

域名 域名下拉列表展示平台已接入的域名列表，选择需要添加的API的所属域名，支持单选。 URI 输入API资产的URI，如/ctapi/v1/cert/create。 Method 下拉选择API的请求方式，当前支持OPTIONS、PATCH、HEAD、PUT、DELETE、GET、POST。 编辑API 一条API资产主要包含API的定义（域名、URI、Method）及API所关联的标签。API的定义内容不支持编辑，API所关联的标签支持新增、修改、删除。 新增标签关联 在标签管理模块点击【新增】按钮，下拉选择需要新增关联的标签名称、再选择需要关联的标签内容，标签内容支持多选。 删除标签关联 用户可在API编辑列表中删除单个标签内容的关联，或删除某个标签名称所有标签的关联。 删除API 如需删除API资产，可在API资产列表中进行删除。 自定义列表视图 您可以自定义API资产列表展示的字段内容及顺序。 点击【列表试图】，在弹窗中勾选需要展示的字段名称，拖动以调整顺序。

参数 类型 描述 是否必须 logtimestamp int 时间戳，单位纳秒 是 originmsg string 原始日志内容 是 contents dict 日志内容，分词后的内容 否 labels dict 自定义标签 否

参数 类型 描述 是否必须 logtimestamp int 时间戳，单位纳秒 是 originmsg string 原始日志内容 是 contents dict 日志内容，分词后的内容 否 labels dict 自定义标签 否

参数 说明 策略配置方式 可视化视图 策略名称 自定义 策略内容 效果 允许 策略内容 被授权用户 授权用户：匿名用户 用户策略：包含以上用户 策略内容 资源 资源范围：同时选择当前桶和桶内对象 资源策略：包含以上资源 策略内容 动作 选择动作：Get 和List 操作策略：包含以上动作 策略内容 条件 条件运算符：IpAddress 键：SourceIp 值： 如果ECS使用公网DNS，取值为：ECS的弹性IP地址 如果ECS使用天翼云内网DNS，取值为：100.64.0.0/10,214.0.0.0/7,ECS的私有IP地址 说明 取值需要同时配置三个IP地址（IP地址段），之间用英文逗号（,）隔开。 其中，100网段和214网段为ECS内网访问OBS的网

错误码 statusCode errorCode message 1 LTS8000 请求失败，请稍候重试，或提交工单反馈 1 LTS8001 内容不合法，无法解析 1 LTS8002 日志内容中有无效的日志时间戳 1 LTS8003 日志内容中有非UTF8字符 1 LTS8004 日志内容包含的日志必须小于[x] MB和[y]条 1 LTS8005 日志中时间范围不在[724小时 + 15分钟]有效范围内 1 LTS8006 日志内容解压失败 1 LTS8007 Token失效，请重新获取 1 LTS8008 云日志服务产品失效，请续费或重新开通 1 LTS8009 无云日志服务产品实例，请先开通云日志服务 1 LTS8010 日志项目不存在 1 LTS8011 日志单元不存在

错误码 statusCode errorCode message 1 LTS8000 请求失败，请稍候重试，或提交工单反馈 1 LTS8001 内容不合法，无法解析 1 LTS8002 日志内容中有无效的日志时间戳 1 LTS8003 日志内容中有非UTF8字符 1 LTS8004 日志内容包含的日志必须小于[x] MB和[y]条 1 LTS8005 日志中时间范围不在[724小时 + 15分钟]有效范围内 1 LTS8006 日志内容解压失败 1 LTS8007 Token失效，请重新获取 1 LTS8008 云日志服务产品失效，请续费或重新开通 1 LTS8009 无云日志服务产品实例，请先开通云日志服务 1 LTS8010 日志项目不存在 1 LTS8011 日志单元不存在

设置灰度规则并引入流量 金丝雀提供两种灰度规则，分别是按比例路由和按内容路由，按比例路由指的是将指定比例的流量路由到灰度应用，按内容路由是指针对请求头、请求参数或请求体中的内容做匹配，将满足匹配规则的流量路由到灰度应用。 按比例路由 1.登录微服务治理中心控制台。 2.在左侧导航栏选择 微服务治理中心 >应用治理。 3.在应用治理页面单击目标应用卡片。 4.在左侧导航栏选择流量治理 金丝雀，点击引入流量。 5.设置灰度应用的流量比例。 按内容路由 1.登录微服务治理中心控制台。 2.在左侧导航栏选择 微服务治理中心 >应用治理。 3.在应用治理页面单击目标应用卡片。 4.在左侧导航栏选择流量治理 金丝雀，点击引入流量。 5.设置灰度应用的内容规则。 按内容灰度参数说明： 参数 说明 框架类型 Spring Cloud/Dubbo。 Path Spring Cloud为接口路径，Dubbo为接口。 条件模式 满足一个条件，或满足所有条件。 条件列表 可以设置Header、Cookie、Parameter和Body Content四种参数类型。 是否链路传递 代表开启全链路流控。

本文指导您如何自定义网站响应页面。 当访问者触发WAF拦截时，系统默认会显示WAF内置的响应页面。 若您需要自定义响应页面的内容和样式，可以参照本文准备自定义页面的内容，然后提交工单联系技术支持进行配置。 前提条件 网站已接入WAF进行防护。 准备工作 您需要准备自定义页面的如下信息： 响应码：自定义页面的返回码。 页面类型：支持text/html、text/xml、application/json类型。 页面内容：根据页面类型准备对应的页面内容。 操作步骤 1. 进入提交工单页面。 2. 在工单页面填写已准备好的自定义页面内容，并提交工单。 3. 等待工单审核，工单审核通过后，技术支持会联系您确认并配置自定义响应页面。 4. 配置完成后，您可以参考以下步骤验证修改效果。 1. 配置Web基础防护规则，将处置动作配置为“拦截”。 2. 模拟攻击者访问防护网站，若攻击被拦截后的返回页面为自定义响应页面的内容，则表示配置成功。

参数 是否必填 参数类型 说明 示例 下级对象 method 是 Array of Strings 发送方式 本参数表示发送方式，取值范围： 1.email：邮箱 2.sms：短信 3.voice：语音 token 是 String token 1411668ec8c13f57472576d5d1603226 subject 否 String 主题 method包含email时：该字段为邮件主题 method包含voice时：该字段为语音播报内容 webhookURL 否 Array of Strings webhook推送url [' content 是 String 发送内容 method包含email时：该字段为邮件内容 method包含voice时：该字段为非空任意值 method包含sms时：该字段为短信内容 webhookURL非空时：该字段为webhook发送内容

本文带您了解弹性云主机的cloudbaseinit相关内容。 CloudbaseInit是一个开源的系统初始化工具，用于云环境中的虚拟机和物理机初始化。它支持在不同的云平台上进行自动配置和自定义操作，包括创建用户、安装软件包、配置网络和安全等。 在Windows上使用CloudbaseInit 如果你需要在Windows上使用CloudbaseInit，可以按照以下步骤进行安装和配置： 1. 下载最新版本的CloudbaseInit安装包（msi文件）。 2. 执行安装包，按照提示完成安装过程。 3. 在安装目录下的配置文件（cloudbaseinit.conf）中，配置需要的参数，如用户名、密码、网络配置等。你可以根据需要进行自定义配置。 4. 在Windows服务中，启动并设置CloudbaseInit服务为自动启动。 5. 重启系统，CloudbaseInit将会在系统启动时自动运行，并根据配置文件进行初始化。 在Linux上使用CloudInit 如果你需要在Linux上使用CloudInit，可以按照以下步骤进行安装和配置： 1. 使用相应的包管理工具，如yum或aptget，安装CloudInit软件包。 2. 在配置文件（cloudinit.conf）中，进行必要的参数配置，如用户名、密码、网络配置等。你可以根据需要进行自定义配置。 3. 启动CloudInit服务，可以使用命令systemctl start cloudinit（适用于systemd系统）或service cloudinit start（适用于init系统）。 4. 重启系统，CloudInit将会在系统启动时自动运行，并根据配置文件进行初始化。

本文档指导您如何在Tomcat服务器中安装部署SSL证书。 前提条件 已在当前服务器中安装配置 Tomcat 服务。 已购买证书并且已获取到证书相关文件。 安装前准备文件 在证书管理服务控制台的证书管理页选择您需要安装的证书，选择“证书下载”。 在弹出的 “证书下载” 窗口中，服务器类型选择 Tomcat，单击“下载”并解压缩包至本地，文件内包含下述2个文件： JKS证书：XXXX.cn.jks JKS证书密码：README.txt 操作步骤 1. 将已获取到的“XXX.cn.jks”密钥库文件拷贝至Tomcat安装目录/conf目录下。 2. 编辑/conf目录下的“server.xml”配置。 // keystoreFile指向步骤1保存的的jks文件； keystorePass值为jks证书密码； Port是端口； SSLEnable是开启ssl的意思； 3. 修改完成后，重启Tomcat服务器即可。 （可选）HTTP自动跳转HTTPS的安全配置 1.打开/conf目录下的“web.xml”文件，找到标签，在后面插入如下内容 SSL / CONFIDENTIAL 2.后续打开“server.xml”文件，修改redirectPort端口参数，如下所示：

模板名称 被授权用户 资源范围 模板动作 只读模式 待指定 系统自动指定为已选对象，无需修改 允许指定用户对当前对象执行以下动作： GetObject（获取对象内容、获取对象元数据） GetObjectVersion（获取指定版本对象内容、获取指定版本对象元数据） GetObjectVersionAcl（获取指定版本对象ACL） GetObjectAcl（获取对象ACL） RestoreObject（恢复归档存储对象） 读写模式 待指定 系统自动指定为已选对象，无需修改 允许指定用户对当前对象执行以下动作： PutObject（PUT上传，POST上传，上传段，初始化上传段任务，合并段） GetObject（获取对象内容、获取对象元数据） GetObjectVersion（获取指定版本对象内容、获取指定版本对象元数据） ModifyObjectMetaData（修改对象元数据） ListMultipartUploadParts（列举已上传段） AbortMultipartUpload（取消多段上传任务） GetObjectVersionAcl（获取指定版本对象ACL） GetObjectAcl（获取对象ACL） PutObjectAcl（设置对象ACL） RestoreObject（恢复归档存储对象） 公共读 匿名用户（表示所有互联网用户） 系统自动指定为已选对象，无需修改 允许匿名用户（所有互联网用户）对当前对象执行以下动作： GetObject（获取对象内容、获取对象元数据） RestoreObject（恢复归档存储对象） GetObjectVersion（获取指定版本对象内容、获取指定版本对象元数据） 公共读写 匿名用户（表示所有互联网用户） 系统自动指定为已选对象，无需修改 允许匿名用户（所有互联网用户）对当前对象执行以下动作： PutObject（PUT上传，POST上传，上传段，初始化上传段任务，合并段） GetObject（获取对象内容、获取对象元数据） ModifyObjectMetaData（修改对象元数据） ListMultipartUploadParts（列举已上传段） AbortMultipartUpload（取消多段上传任务） RestoreObject（恢复归档存储对象） GetObjectVersion（获取指定版本对象内容、获取指定版本对象元数据） PutObjectAcl（设置对象ACL）GetObjectVersionAcl（获取指定版本对象ACL） GetObjectAcl（获取对象ACL）

相关服务 交互功能 相关内容 弹性云主机（CTECS） TaurusDB配合弹性云主机（Elastic Cloud Server，简称ECS）一起使用，通过内网连接TaurusDB可以有效的降低应用响应时间、节省公网流量费用。 详细内容参见 虚拟私有云（CTVPC） 对您的TaurusDB数据库实例进行网络隔离和访问控制。 详细内容参见 对象存储（OBS） 存储您的TaurusDB数据库实例的自动和手动备份数据。 详细内容参见 云监控服务 云监控服务是一个开放性的监控平台，帮助用户实时监测TaurusDB资源的动态。云监控服务提供多种告警方式以保证及时预警，为您的服务正常运行保驾护航。 详细内容参见 云审计服务 云审计服务（Cloud Trace Service，简称CTS），为用户提供云服务资源的操作记录。 详细内容参见 数据库复制（CTDRS） 使用数据复制服务，实现数据库平滑迁移上云。 详细内容参见 分布式关系型数据库（DRDS） 对于云数据库TaurusDB，使用分布式关系型数据库服务（Distributed Relational Database Service，简称 DRDS），后端对接多个数据库实例，实现分布式数据库的透明访问。 详细内容参见

云资源集成系统产品使用手册 一、 产品概述 1.1 产品介绍 云资源集成管理系统CRIMS 是一款数据中心资产监测管理软件，旨在帮助数据中 心管理相关人员或资产所有人解决资产管理混乱、资产状态未知、已有资产使用不明确 等问题。 本系统以功能模块做标准版及增购版的区分，标准版含：首页、监测、数据分析、 发现、告警、系统；增购版另有能耗、资产、机房、报修、专线、存储、自动装机、vKVM、 控制管理模块可组合加购。 1.2 产品核心能力 CRIMS 采用领先的带外与带内结合管理技术实现对业务硬件与软件的全方面监控， 可对数据中心 IT 基础设施进行监测、管理运营，为软硬件设备提供全生命周期管理，实 现设备从采购、安装使用，再到运维、报废的全过程服务。并对监测数据进行分析、管 理，为日常运营提供支持。CRIMS 无需在每台服务器上安装代理软件，减少对操作系 统的影响。可以有效帮助用户减少繁琐、重复、费时的各项运维工作，保障数据中心设 备安全、稳定运行，同时降低数据中心运营成本。 1.3 产品优势 CRIMS 硬件监控方面支持各个品牌各个型号的小型机、刀片服务器、刀箱、塔式& 机柜式服务器的硬件状态和各个厂家的高端存储、中端存储、低端存储、虚拟化存储、 虚拟带库、物理带库等存储资源，硬件监控内容包括：电源、风扇、内置磁盘、CPU、 内存、网卡、HBA 卡、拓展模块等服务器各个部件运行状态，配置信息，电源、风扇、 电池、磁盘柜、硬盘、控制器、Array、机械手、磁带机等； CRIMS 软件监控方面支持监控主流操作系统：Linux，Windows，AIX，AS400， ScoUnix，Solaris，HP Unix，国产 UOS 的服务状态；主流云平台：VMWare，Red Hat， FusionCompute，Amazon，阿里云，Docker 的虚 机状态；主流数据库：DB， MySQL,Oracle,Oracle Rac,Oscar,PostgreSQL,SQLServer,SyBase 的库状态,主流应用 程序：AD，Apache，HACMP，IBM MQ，IIS，Nginx，PowerHA，RHCS，Resin， Exchange，JBoss，JBoss EAP，Kafka，Lotus，Memcached，PolyCom，Redis，Tomcat， Tuxedo，Url Recored，WebLogic，Zookeeper 的进程状态，软件监控内容包括：时间 校验，文件数量，进程数量，IO 性能，网络速率，服务状态，Lun，Cache 统计，控制 器，，FC 端口，PCIe 端口，FCoE 端口，NE 节点，异网 IP，文件系统，线程缓存，缓 冲排序，Query 缓存，访问量(QPS)，数据库引擎，主备复制，表空间信息，数据目录等。 更多产品使用具体方法请下载附件查看。 云资源集成系统产品使用手册part1智能运维标准服务.pdf

参数 类型 描述 是否必须 logTimestamp int 时间戳，单位纳秒 是 originMesssage string 原始日志内容 是 contents map<string,any> 日志内容，分词后的内容，可用于索引 否 labels map<string,any> 自定义标签 否

1.2 CPU算力用于大模型推理的适用场景 CPU适用于以下大模型推理场景： 场景1: 大模型推理需要的内存超过了单块GPU的显存容量，需要多块或更高配GPU卡，采用CPU方案，可以降低成本； 场景2: 应用请求量小，GPU利用率低，采用CPU推理，资源划分的粒度更小，可有效降低起建成本； 场景3: GPU资源紧缺，CPU更容易获取，且可以胜任大模型推理。 2 天翼云EMR实例DeepSeekR1DistillQwen7B蒸馏模型部署实践 本节内容主要介绍如何在天翼云EMR实例上，基于Intel® xFasterTransformer加速库和vllm推理引擎完成模型部署，并展示相关性能指标。 2.1 服务部署 为了方便用户使用，天翼云联合英特尔制作了一键部署的云主机镜像，内置DeepSeekR1DistillQwen7B模型、vLLM推理框架、xFT加速库以及openwebui前端可视环境。您可在天翼云控制台选择下列资源池和镜像，开通云主机进行体验。 类型 可用资源 可用资源池 华东华东1az2、华东华东1az3 可用规格 c8e系列（最低内存需求32G） 可用镜像 DeepSeekvLLM英特尔AMX推理加速（CPU） 完成云主机开通后，推理服务会在5分钟内自动启动，您无需进行任何其他操作。 注意 如需在云主机外访问服务，您需要绑定弹性IP，并在安全组内放行22/3000/8000端口。

介绍分布式消息服务Kafka修改用户的功能操作内容。 场景描述 当前主要支持重置用户密码：当用户忘记密码或需要更改密码时，可以通过修改用户密码来实现。这有助于保护用户账户的安全性，防止未经授权的访问和操作。 操作步骤 （1）登录管理控制台。 （2）进入Kafka管理控制台。 （3）在实例列表页在操作列，目标实例行点击“管理”。 （4）点击“用户管理”后进入应用用户管理页面，点击“修改”。 （5）点击“修改”后，在弹窗中可以修改密码和对应描述。

使用ODBC连接数据库 DWS 支持使用ODBC应用程序连接数据库。应用程序可以在云平台环境的弹性云主机中，或者互联网环境连接数据库。 ODBC接口的使用方法，请自行查阅官方文档。 前提条件 已下载Linux版本的ODBC驱动包“dwsodbcdriverforlinux.zip”和Windows版本的ODBC驱动包“dwsodbcdriverforwindows.zip”，请参见上方“下载JDBC或ODBC驱动”章节。DWS 也支持开源的ODBC驱动程序：PostgreSQL ODBC 09.01.0200或更高版本。 已下载开源unixODBC代码文件，支持版本为2.3.0。 已下载SSL证书文件，请参见使用SSL进行安全的TCP/IP连接章节“在 gsql 客户端配置 SSL 认证相关的数字证书参数”部分内容，下载SSL证书。 在Linux环境使用ODBC连接 1. 将ODBC驱动包和代码文件上传到Linux环境，并解压到指定目录。 2. 以root用户登录Linux环境。 3. 准备unixODBC。 a.解压unixODBC代码文件。 tarxvf unixODBC2.3.0.tar.gz b.修改配置。 cd unixODBC2.3.0 vi configure 将“LIBVERSION”修改为如下内容，并保存退出。 LIBVERSION"1:0:0" c.编译并安装。 ./configureenableguino make make install 4. 替换驱动文件。 a.解压“dwsodbcdriverforlinux.zip”。 unzip dwsodbcdriverforlinux.zip b.将“dwsodbcdriverforlinux.zip”解压后“lib”目录下所有文件，替换到“/usr/local/lib”。 c.将“dwsodbcdriverforlinux.zip”解压后“odbc/lib”目录下的“psqlodbcw.la”和“psqlodbcw.so”，保存到“/usr/local/lib”。 5. 执行以下命令，修改驱动文件配置。 vi /usr/local/etc/odbcinst.ini 将以下内容保存到配置中 [DWS] Driver64/usr/local/lib/psqlodbcw.so 参数说明如下： “[DWS]”：表示驱动器名称，支持自定义。 “Driver64”或“Driver”：表示驱动动态库的路径。64位系统优先查找“Driver64”配置项，如果未配置则会继续查找“Driver”。 6. 执行以下命令，修改数据源文件。 vi /usr/local/etc/odbc.ini 将以下内容保存到配置文件中，并退出修改。 [DWSODBC] DriverDWS Servername10.10.0.13 Databasegaussdb Usernamedbadmin Passwordpassword Port8000 Sslmodeallow 参数名 说明 参数值样例 [DSN] 数据源的名称。 [DWSODBC] Driver 驱动名称，对应“odbcinst.ini”中的DriverName。 DriverDWS Servername 服务器的IP地址。 Servername10.10.0.13 Database 要连接的数据库的名称。 Databasegaussdb Username 数据库用户名称。 Usernamedbadmin Password 数据库用户密码。 Passwordpassword Port 服务器的端口号。 Port8000 Sslmode SSL认证工作模式。集群默认开启。 取值及含义： disable：只尝试非SSL连接。 allow：首先尝试非SSL连接，如果连接失败，再尝试SSL连接。 prefer：首先尝试SSL连接，如果连接失败，将尝试非SSL连接。 require：只尝试SSL连接。如果存在CA文件，则按设置成verifyca的方式验证。 verifyca：只尝试SSL连接，并且验证服务器是否具有由可信任的证书机构签发的证书。 verifyfull：DWS不支持此模式。 说明 SSL模式安全性高于普通模式，集群默认开启SSL功能允许来自客户端的SSL连接或非SSL连接，建议在使用ODBC连接DWS集群时采用SSL模式。 Sslmodeallow 说明 其中，参数“Servername”和“Port”的值，可以在DWS 的管理控制台查看。请登录DWS 管理控制台，单击“连接管理”， 在“数据仓库连接字符串”区域，选择指定的集群，获取该集群的“内网访问地址”或“公网访问地址”。具体步骤请参见获取集群连接地址。 7. 配置环境变量。 vi ~/.bashrc 在配置文件中追加以下内容。 export LDLIBRARYPATH/usr/local/lib/:$LDLIBRARYPATH export ODBCSYSINI/usr/local/etc export ODBCINI/usr/local/etc/odbc.ini 8. 导入环境变量。 source ~/.bashrc 9. 执行以下命令，开始连接。 /usr/local/bin/isql v DWSODBC 界面显示以下信息表示连接成功： + Connected! sqlstatement help [tablename] quit + SQL>

参数 说明 策略配置方式 可视化视图 策略名称 自定义 策略内容 允许/拒绝 允许 策略内容 被授权用户 授权用户：当前帐号 子用户：选择需要授权的IAM用户 用户策略：包含以上用户 策略内容 资源 资源范围：同时选择当前桶和桶内对象，桶内对象选择所有对象 资源策略：包含以上资源 策略内容 动作 选择动作：ListBucket和PutObject 操作策略：包含以上动作 说明 本例对象动作仅授予上传对象权限。可以根据业务需要选择多个动作，同时授予其他操作权限。“”代表所有操作。

配置项 说明 规则名称 设置规则的名称。 规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 防护目标 需输入完整防护的网页路径或端口。 例如 为路径地址。 路径不支持通配符(例如 / )或参数(例如 /abc?xxxyyy 中，xxxyyy 为参数部分)。 支持输入端口，如 或 排除目标 通过输入排除条件，排除不需要防护的地址范围，支持多行输入，每一行为一个排除条件地址。最大支持 20 行。 防护动作 支持以下四种防护动作，需至少配置一种。 动态令牌：勾选“签名验证”，系统会在请求内容中插入动态令牌，对每一次请求数据进行签名验证，验证不通过的请求将被拦截。 客户端环境验证：勾选“客户端指纹检测”，系统会主动验证用户请求客户端，支持检测浏览器版本、客户端IP地址。 动态混淆：对请求内容或响应内容进行混淆，支持对Fetch/Ajax请求参数进行混淆、对Html响应内容进行混淆，支持对js的代码进行变换和混淆。 当请求或响应任意内容大于1MB时，不会对请求内容或响应内容进行混淆。 页面防调试：开启页面防调试功能后，能够防止用户对页面的调试。 注意 由于该功能会对业务的请求和响应进行混淆，所以使用该功能可能导致页面异常，请谨慎使用。建议在需要进行防护的敏感目录下开启此防护功能。 处置动作 支持“观察”、“拦截”。 优先级 代表该规则在当前防护模块中执行的优先级。 可输入1～100的整数，数字越大，代表这条规则的优先级越高。相同的优先级下，创建/更新时间越晚，优先级越高。 规则描述 规则的描述信息，用户可自定义。

本节主要介绍步骤四：对比同步项 对比实时同步项可以清晰反馈出源数据库和目标数据库的数据是否存在差异。为了尽可能减少业务的影响和业务中断时间，实时同步场景提供了对象级对比和数据级对比功能，帮助您确定合适的业务割接时机。 对象级对比：支持对数据库、索引、表、视图、表的排序规则等对象进行对比。 数据级对比：支持对表的行数和内容进行对比。 说明 全量同步中的任务无法进行数据级对比。 如果单独对目标库进行数据修改操作，有可能数据检验不准确。 前提条件 已登录数据库复制服务控制台。 操作步骤 1、在“实时同步管理”界面，选中指定同步任务，单击任务名称，进入“基本信息”页签。 2、单击“同步对比”页签，进入“同步对比”信息页面。 3、对比同步项。 创建对象级对比：选择“对象级对比”页签，单击“开始对比”后稍等一段时间再单击，观察源数据库和目标数据库的各个对比项结果是否一致。若需要查看结果详情，可单击指定对比项操作列的“详情”按钮。 图 同步对象对比 创建数据级对比：选择“数据级对比”页签，单击“创建对比任务”，选择“对比类型”、“对比方式”、“对比时间”和“对象选择”，单击“是”提交对比任务。 图 创建数据对比任务 对比类型：分为行数对比和内容对比。 行数对比：用于对比源和目标端的表的行数是否相等。 说明 任务进入增量阶段后，用户可以创建行对比任务。 Oracle>GaussDB(for openGauss)同步任务，当全量任务结束的时候会自动触发行对比任务。 内容对比：用于对比源和目标端的表的数据是否一致。 说明 任务进入增量阶段后，用户可以创建内容对比任务。全量同步完成后，源库数据不能发生变更，否则内容对比结果会不一致。 由于内容对比功能目前只支持带有单字段主键或单字段唯一索引的表，不支持内容对比的表可以使用行数对比功能。所以数据级对比功能需要结合业务场景，选用行数对比或者内容对比。 对比方式：分为静态对比和动态对比两种。 静态对比：对源数据库和目标数据库进行一次全量内容对比，内容对比完成后对比任务结束，适用于无数据变化的非业务时间。 动态对比：先对源数据库和目标数据库进行一次全量内容对比，对比任务完成后进入增量对比阶段，实时比对源数据库和目标数据库的增量数据，适用于有数据变化的业务时间。 说明 目前仅MySQL引擎支持对比方式选择。 对比时间：可设置为“立即启动”和“稍后启动”。由于同步具有轻微的时差，在数据持续操作过程中进行对比任务，可能会出现符合实际情况的少量数据不一致对比结果，推荐结合对比定时功能，选择在业务低峰期进行对比，得到更为具有参考性的对比结果。 对象选择：可根据具体的业务场景选择需要进行对比的对象。 4、对比任务提交成功后，返回“数据级对比”页签，单击刷新列表，可以查看到所选对比类型的对比结果。 图 同步数据对比 由于内容对比功能目前只支持带有单字段主键或单字段唯一索引的表，不支持内容对比的表可以使用行数对比功能。所以数据级对比功能需要结合业务场景，选用行数对比或者内容对比。 若需要查看行数对比或者内容对比详情，可单击指定对比类型操作列的“查看对比报表”，页面将跳转至新的窗口，可观察对比结果的详细情况。 图 数据级对比详情 说明 已取消的对比任务也支持查看对比报表。