本节介绍如何订购内容安全检测。 步骤 1 登录管理控制台。 步骤 2 单击管理控制台右上角的，选择区域。 步骤 3 单击页面左上方的，选择“安全> Web应用防火墙 （独享版）”。 步骤 4 在左侧导航栏，选择“高阶功能> 内容安全检测”，进入“内容安全检测”页面。 步骤 4 在页面右上角，单击“购买内容安全检测服务”，进入购买页面。在购买内容安全检测服务页面选择检测类型、填写检测对象、勾选提示后点击立即购买。 参数说明 参数 说明 区域 在下拉框选择区域。 检测类型 “内容安全单次检测（按需）”：针对单个网站或新媒体账号的文字、图片、音频、视频内容进行检测，检测完成后提供一份内容检测报告。 “文本安全监测（按月）”：针对单个网站或新媒体账号的文字内容进行内容安全监测，并在一个自然月后输出内容监测月报。 “文本安全监测（按年）”：针对单个网站或新媒体账号的文字内容进行内容安全监测，并在每一个自然月后输出内容监测月报，一个自然年后输出内容监测年报。 检测对象类型 检测对象类型包含： “新媒体”：支持主流新媒体平台的内容审查，包括文本、图片、音频、视频等。 “网站”：支持网站内容审查，可根据URL检测网站内容，可自行排查检测站内网页、链接内容，包括文本、图片、音频、视频等。 检测对象 “检测对象类型”选择“新媒体”时：输入需要检测的账号名称，并备注新媒体平台。 每一行表示一个新媒体账号，多个新媒体账号以回车换行分割；同一行内的新媒体账号和备注之间以英文逗号分割，每行最多支持500个英文字符（1个中文字符等于2个英文字符）。 “检测对象类型”选择“网站”时：输入被检测网站完整域名与备注信息。 每一行表示一个检测网址，多个网址以回车换行分割；同一行内的网址和备注之间以英文逗号分割，如无备注，可只输入网址，每行最多支持500个英文字符（1个中文字符等于2个英文字符）。 说明 内容安全按“检测对象”的总个数进行收费。同一个对象再次进行扫描时，需要重新收费。例如：单次配置了10个检测对象（新媒体账号或网站网址），每个检测对象检测一次，则需要进行10次收费。 内容安全为一次性扣费服务，下单即开始检测，不支持修改和暂停检测任务。

运行时可为您的函数提供针对不同语言在执行环境中运行的环境。运行时可传递函数调用的事件（event）、上下文信息（context）和响应。天翼云函数计算支持多种语言的标准运行时，同时也可以使用标准运行时构建您自己的运行时，或自行构建容器镜像。 标准运行时 Node.js Python Java Go C PHP 自定义运行时 更多信息，请参考自定义运行时章节。 容器镜像函数 更多信息，请参考容器镜像函数章节。

本文介绍了云防火墙与其他云服务的关系。 与统一身份认证服务的关系 统一身份认证服务（Identity and Access Management，简称IAM）为云防火墙服务提供了权限管理的功能。用户在天翼云注册后自动创建主用户，该用户对其所拥有的资源具有完全的访问权限，拥有重置用户密码、分配用户等权限。用户可以通过为子用户配置不同的角色分配访问云防火墙（原生版）不同的权限。云防火墙（原生版）角色包含admin角色和viewer角色，其中admin角色拥有全局权限，可以使用云防火墙（原生版）的全部功能。viewer角色只拥有可读权限，只能查看云防火墙（原生版）相关数据，不能进行配置操作。 与Web应用防火墙（原生版）的区别 Web应用防火墙（原生版）针对Web业务防护，主要应用于对七层应用流量进行防护，其防护对象为域名相关的网站，主要防护Web攻击，通常在用户部署公网Web业务时，需要开启Web应用防火墙对网站进行防护，对非Web类业务没有防护能力，且只防护由外对内的攻击，对业务的恶意主动外联没有监测和防护能力。 云防火墙（原生版）包含全部业务防护，主要应用于对四层网络流量的防护和访问控制，其防护对象为用户的IP，支持对Web漏洞的基础防护以及其他网络层的攻击行为，同时还支持内对外的主动外联流量检测。支持失陷主机和恶意外联的自动拦截。通常在用户开通互联网访问时需要部署，是网络访问基础的防护设备。 具体区别对比如下表： 类别 云防火墙（原生版） Web应用防火墙（原生版） ::: 产品定义 云防火墙（原生版）（CTCFW，Cloud Firewall）是一款云原生的云上边界网络安全防护产品，可提供统一的互联网边界管控与安全防护，并提供业务整体情况可视化、日志审计和分析等功能，帮助您完成网络边界防护与等保合规。 Web应用防火墙（原生版）（CTWAF，Web Application Firewall）为用户Web应用提供一站式安全防护，对Web业务流量进行智能全方位检测，有效识别恶意请求特征并防御，避免源站服务器被恶意入侵，保护网站核心业务安全和数据安全。 防护对象 IP（弹性公网IP、内网IP等） 域名 网络层级 四层 七层 应用场景 边界网络防护 Web业务安全防护 核心技术 ACL访问控制、DPI深度包检测、IPS入侵检测技术 HTTP协议解析、Web攻击检测 安全能力 支持外部访问控制和主动外联管控，能够检测攻击者对用户网络发起的攻击，同时也能对用户网络主动外联行为进行分析，阻断由内而外的恶意连接行为，保护用户的资产安全。 集成机器学习检测引擎，支持专家经验特征与语义特征，有效检测SQL 注入、XSS等基于形式语言的攻击类型，对OWASP常见攻击类型进行了良好覆盖。 Web应用防火墙建议使用场景： 当用户部署了对外提供服务的Web应用时，建议用户购买Web应用防火墙，以便能够保护所部署Web服务的安全。 注意 无论所部署的Web服务是否位于天翼云上，都可以购买天翼云Web应用防火墙（原生版）对用户的Web服务提供防护，天翼云Web应用防火墙（原生版）提供全球级服务，能够为用户任意位置的Web服务提供全面的Web安全保护。 云防火墙建议使用场景： 当用户在天翼云上购买了弹性云主机时，建议购买云防火墙，以便能够保护用户云上弹性云主机的安全。 注意 天翼云云防火墙仅能保护部署在天翼云内的弹性云主机网络安全，对于在其他位置的主机和网络设备，因其网络流量未流经天翼云，故天翼云云防火墙无法保护其网络安全。

本文介绍云容器引擎Serverless版的功能特性。 虚拟节点 Serverless集群无需管理节点，但为了兼容原生Kubernetes，以及提供应对突发业务流量的弹性能力，您仍会在集群中看到虚拟节点的存在。 Pod配置 在Serverless集群中创建Pod时，您可以通过添加Annotation来定制Pod。 网络管理 Serverless集群支持Service和Ingress等对象的个性化定制，并且允许通过CoreDNS和弹性IP等办法提供服务发现功能。 存储管理 支持天翼云盘挂载，提供标准的CSI，支持存储卷的自动创建。 可观测性 Serverless集群支持安装相应组件启动监控功能。 镜像管理 Serverless集群支持使用ImageCache来加速创建Pod，帮助您快速响应业务。 组件管理 Serverless集群提供多种类型的组件，以扩展集群的各种功能。根据业务需求，您可以随时部署、升级或卸载这些组件。 应用管理 Serverless集群支持灰度发布、蓝绿发布、应用监控以及应用弹性伸缩。同时，内置的模板市场支持Helm应用一键部署，大大简化云服务集成。

弹性负载均衡是否支持TCP长连接？ 客户端到弹性负载均衡之间支持TCP长连接。长连接可以省去较多的TCP建立和关闭的操作，减少浪费，节约时间。对于频繁请求资源的客户来说，适合长连接。 注意：当后端主机发生迁移时、弹性负载均衡和后端主机的连接会中断，继而造成TCP长连接出现中断，需要客户端重新发起连接请求。 弹性负载均衡是否支持后端FTP服务？ 弹性负载均衡不支持后端FTP服务。如果是搭建FTP服务的场景，请避免使用弹性负载均衡进行流量分发。 弹性负载均衡是否有防DDoS攻击和Web代码层次安全的功能？ 弹性负载均衡没有防DDoS攻击和Web代码层次安全的功能。如果有相关的安全需求，请在后端主机进行相应的安全防范。 弹性负载均衡对于IPv6网络的支持情况是怎样的？ 弹性负载均衡支持通过IPv6地址对私网和公网提供服务。 对私网提供服务：创建负载均衡器时，如果选择已开启IPv6的VPC和子网，可以为选择负载均衡器分配IPv6地址。负载均衡可通过该IPv6地址对VPC提供私网服务。 对公网提供服务：创建负载均衡器时，如果选择已开启IPv6的VPC和子网，可以为选择弹性负载均衡实例分配IPv6地址。为分配了IPv6地址的弹性负载均衡绑定IPv6带宽后，可对通过IPv6地址对公网提供服务。

本文为您分布式消息服务MQTT的环境准备内容。 在创建天翼云分布式消息服务MQTT实例之前，您需要做一些准备工作。 首先，您需要设置一个虚拟私有云（VPC），这是一个隔离的网络环境，用于托管MQTT实例。 接下来，您需要创建一个子网，它是VPC内部的一个子网络，用于划分不同的部分和区域。 最后，您需要配置一个安全组，用于控制入站和出站的流量规则，以保证MQTT实例的安全性。 每个分布式消息服务MQTT实例都会被部署在特定的VPC中，并与特定的子网和安全组相关联。这种方式可以让您自主配置和管理MQTT实例的网络环境，并提供安全保护策略。如果您已经有了现成的VPC、子网和安全组，可以重复使用它们，无需重复创建。这样可以节省时间和资源，并确保一致性和可靠性。 VPC和子网 VPC和子网可重复使用，您也可以使用不同的VPC和子网来配置MQTT实例，您可根据实际需要进行配置。在创建VPC和子网时应注意如下要求： VPC与使用的天翼云分布式消息服务MQTT服务应在相同的区域。 如无特殊需求，创建VPC和子网的配置参数使用默认配置即可。 创建VPC和子网的操作请参考虚拟私有云创建VPC、子网搭建私有网络。 若需要在已有VPC上创建和使用新的子网，请参考虚拟私有云子网管理创建子网。

参数 说明 名称 自定义名称。 源安全域 安全域可根据业务情况选择。 源地址 源地址可根据业务情况选择。 目的地址 目的地址地址可根据业务情况选择，请输入防火墙网卡地址。 服务 根据业务主机开放端口选择服务。

名称 描述 ListPartsResult 包含整个响应的容器。 类型：容器。 子节点：Bucket、EncodingType、Key、UploadId、Initiator、Owner、StorageClass、PartNumberMarker、NextPartNumberMarker、MaxParts、IsTruncated、Part。 Bucket 分片上传对应的bucket名称。 类型：字符串。 父节点：ListPartsResult。 EncodingType Key的编码类型。 类型：字符串。 父节点：ListPartsResult。 Key 新创建的文件的Key。 类型：字符串。 父节点：ListPartsResult。 UploadId 分片上传ID。 类型：字符串。 父节点：ListPartsResult。 Initiator 指定执行此次分片上传过程的用户账户。 类型：容器。 父节点：ListPartsResult。 子节点：ID、DisplayName。 ID OOS账户的ID。 类型：字符串。 父节点：Initiator。 DisplayName OOS账户的账户名。 类型：字符串。 父节点：Initiator。 StorageClass 文件的存储类型： STANDARD：标准存储。 STANDARDIA：低频访问存储。 类型：字符串。 父节点：ListPartsResult。 PartNumberMarker 列表起始位置的片段的分片号。 类型：整型。 父节点：ListPartsResult。 NextPartNumberMarker 当此次请求没有将所有片段列举完时，此元素指定列表中的最后一个片段的分片号。此分片号用于作为下一次连续列表请求的partnumbermarker参数的值。 类型：整型。 父节点：ListPartsResult。 MaxParts 响应中片段的最大数目。 类型：整型。 父节点：ListPartsResult。 IsTruncated 标识此次分片上传过程中的所有片段是否全部被列出，如果为true则表示没有全部列出。如果分片上传过程的片段数超过了MaxParts元素指定的最大数，则会导致一次列表请求无法将所有片段数列出。 类型：Boolean。 父节点：ListPartsResult。 Part 与某个片段对应的容器，响应中可能包含0个或多个Part元素。 类型：容器。 父节点：ListPartsResult。 子节点：PartNumber、LastModified、ETag、Size。 PartNumber 标识片段的分片号。 类型：整型。 父节点：Part。 LastModified 片段上传完成的日期。 类型：Date。 父节点：Part。 ETag 片段上传完成时返回的ETag值。 类型：字符串。 父节点：Part。 Size 片段的数据大小。 类型：整型。 父节点：Part。

容器实例监控（CPU​&内存） 容器实例监控（CPU&内存） 此卡片主要展示了4种信息： 统计最新时间前1分钟内的容器实例的CPU使用率、内存使用率在TOP5的实例信息。 最近1小时内的所选容器实例的CPU使用率、内存使用率的趋势图，趋势图的每一个点分别表示1分钟内容器实例CPU&内存使用率的值。 趋势图上方的值为所选容器实例下监控的最新时间点CPU&内存使用率的值。 此卡片左下角通过勾选可隐藏系统实例。 主机监控（网络） 主机监控（网络） 此卡片主要展示了3种信息： 统计最新时间前1分钟内的主机的网络上行/下行速率在TOP5的主机信息。 最近1小时内的所选主机的网络上行/下行速率的趋势图，趋势图的每一个点分别表示1分钟内所选主机的网络上行/下行速率的值。 趋势图上方的值为所选主机的网络监控的最新时间点主机的网络上行/下行速率的值。 集群监控（磁盘） 集群监控（磁盘） 此卡片主要展示了3种信息： 统计最新时间前1分钟内的集群的磁盘使用率在TOP5的集群信息。 最近1小时内的所选集群的磁盘使用率的趋势图，趋势图的每一个点分别表示1分钟内集群的磁盘使用率的值。 趋势图上方的值为所选集群的磁盘监控的最新时间点集群的磁盘使用率的值。

阶段 阶段描述 具体内容 责任方 计划实施时间 第一阶段：咨询服务启动 等保测评技术指导、讲解 介绍整体服务工作 天翼云、客户 1周 第一阶段：咨询服务启动 等保测评技术指导、讲解 测评内容介绍 天翼云、客户 1周 第一阶段：咨询服务启动 等保测评技术指导、讲解 确认保密管理内容 天翼云、客户 1周 第一阶段：咨询服务启动 等保测评技术指导、讲解 介绍风险管理措施 天翼云、客户 1周 第一阶段：咨询服务启动 等保测评技术指导、讲解 讲解等保要求细则 天翼云、客户 1周 第一阶段：咨询服务启动 等保测评技术指导、讲解 输出《等保测评技术指导》 天翼云 1周 第二阶段：安全自测评 环境检查系统检查安全检查差距分析 依据等级保护要求，对客户系统进行安全自评估，进行差距分析 天翼云、客户 2周 第二阶段：安全自测评 环境检查系统检查安全检查差距分析 安全物理环境 天翼云、客户 2周 第二阶段：安全自测评 环境检查系统检查安全检查差距分析 安全通信网络 天翼云、客户 2周 第二阶段：安全自测评 环境检查系统检查安全检查差距分析 安全区域边界 天翼云、客户 2周 第二阶段：安全自测评 环境检查系统检查安全检查差距分析 安全计算环境 天翼云、客户 2周 第二阶段：安全自测评 环境检查系统检查安全检查差距分析 差距分析 天翼云、客户 2周 第二阶段：安全自测评 环境检查系统检查安全检查差距分析 输出《差距分析评估》 天翼云 2周 第三阶段：整改建议 （仅标准版提供） 根据差距分析，提供整改建议 差距分析整理，提供差距建议，输出《差距整改方案》 天翼云 2周

本文主要介绍云日志服务的功能特性。 日志项目 日志项目是云日志服务的资源管理单位，您可使用日志项目管理不同的应用、产品或项目中的数据。每个日志项目下可创建多个日志单元，是您访问云日志服务资源的入口。 管理日志项目 日志单元 日志单元是云日志服务中日志数据的采集、存储、查询、分析的基本单元。每个日志单元隶属于一个日志项目，每个日志项目中可创建多个日志单元。 管理日志单元 主机管理 主机组是一组需要采集日志的云主机列表，是一个虚拟分组，云日志服务通过主机组来管理所有需要通过采集器采集日志的云主机。建议您可根据不同的业务场景来划分不同的主机组，以方便管理云日志服务中的日志采集。 管理主机组 日志接入 云日志服务支持实时日志采集，通过采集器的方式方便您在各种数据源场景下采集日志，采集日志后，您可在云日志服务控制台实时查询、分析日志数据。 采集器支持无侵入式接入，实现日志实时采集、日志文件批量抓取上报、多管道数据处理，实现高效采集。 支持从云主机、容器应用、微服务应用以及其他组件中采集日志。 采集规则支持动态配置，提供单行/多行全文、正则、分隔符、JSON等日志结构化解析方式。 日志接入概述

本节介绍专属加密限制说明及操作指引。 限制说明 专属加密实例需要配合虚拟私有云（VPC）一起使用。创建专属加密实例后，需要在管理控制台中实例化专属加密实例（配置VPC网络、安全组、网卡），才能正常使用。 专属加密实例出于安全性的考虑，不对公网提供服务，您需要将专属加密实例管理工具部署到与专属加密实例同一VPC网络中，才能对专属加密实例进行管理。 操作指引 当用户需要在云上使用专属加密服务时，可通过Dedicated HSM界面创建专属加密实例。创建专属加密实例后，当用户收到Dedicated HSM邮寄的Ukey后，通过Ukey初始化，并管控专属加密实例。用户通过专属加密实例管理工具授权业务APP，允许业务用户通过业务APP访问专属加密实例。操作指引如图所示。 操作指引说明如下表所示。 操作指引说明 编号 操作步骤 说明 操作角色 1 创建专属加密实例 通过Dedicated HSM界面创建专属加密实例。 用户 2 分配专属加密实例 Dedicated HSM分配专属加密实例给用户。安全专家将通过您提供的联系方式与您联系，并确定您订购的专属加密实例是否满足您的业务要求，若满足要求，安全专家将分配专属加密实例给您。 专属加密服务安全专家 3 邮寄UKey并提供配套初始化文档及软件 安全专家将通过您提供的Ukey收件地址将Ukey邮寄给您。Ukey是Dedicated HSM提供给您的身份识别卡，此卡仅购买专属加密实例的用户持有，请妥善保管。 安全专家将会为您提供初始化专属加密实例的软件及相关指导文档。 专属加密服务安全专家 4 初始化、管控（UKey认证） 在专属加密实例管理节点上安装我们为您提供的管理工具。使用Ukey和管理工具初始化专属加密实例，并注册相应的管理员，管控专属加密实例，对密钥进行管理。 用户 5 安装安全代理软件并授权 在业务APP节点上安装我们为您提供的安全代理软件并执行相关初始化操作。 用户 6 访问 业务APP通过API或者SDK的方式访问专属加密实例。 用户

一、引言 1.1 工具概述 EvalScope是一款专为大模型部署后性能评估设计的压力测试工具，支持多并发场景下的吞吐量、延迟、稳定性等核心指标测试。通过配置输入/输出Token长度、并发数等参数，可模拟真实业务负载，验证模型服务在不同上下文场景下的性能表现。工具基于Apptainer容器化部署，确保环境一致性，降低依赖冲突风险。 注意：该工具只有x86架构适配版(适用于NVIDIA GPU)，无法直接在ARM架构（昇腾 910B）下使用，因此实际测试时需要在X86架构机器上通过ssh执行。 1.2 使用须知 环境依赖 ：需预先安装Apptainer（若物理机使用Galaxy镜像，默认已集成），如需安装，具体安装指南见Apptainer官方文档。 网络配置 ：被测模型服务需暴露HTTP接口（如 资源要求：测试过程可能产生高I/O和网络负载，建议在独立测试环境中执行，避免影响生产服务。 1.3 应用场景 模型部署验证：确认模型服务在指定并发和上下文长度下的响应能力。 性能瓶颈定位：通过多并发和Token配置组合，识别吞吐量下降或延迟突增的临界点。 服务稳定性测试：长时间高负载下验证服务是否存在内存泄漏、连接超时等异常。 二、测试过程

2.1 服务配置 2.1.1 调度参数配置 编辑/home/vllm/srundeepseek.sh，如果是2台或者3台，需修改N后面的数值： plaintext !/bin/bash SBATCH N 4 ... 2.1.2 模型参数配置 编辑/home/vllm/node.sh： plaintext export MODELDIR/mnt/data/hfcache/DeepSeekR1 export MODELNAMEDeepSeekR1 export VLLMIMAGEvllmopenaiv0.8.1.sif export VLLMAPIKEY"password" 其中: MODELDIR为模型具体位置 MODELNAME为显示的模型名称 VLLMIMAGE为使用的vllm apptainer容器 VLLMAPIKEY为模型密钥，默认为password 2.2 DeepSeek服务启动 plaintext cd /home/deepseek sbatch srundeepseek.sh 输出示例：Submitted batch job 403 查看日志目录下的err文件，当出现如下信息时，表示服务启动： plaintext INFO: Started server process [409] INFO: Waiting for application startup. INFO: Application startup complete. 2.3 查看DeepSeek状态 可通过slurm命令squeue，查看作业运行信息： plaintext $ squeue JOBID PARTITION NAME USER ST TIME NODES NODELIST(REASON) 403 batch DSL40S root R 8:19 4 compute[0104] 注意 可在/home/deepseek/log目录中查看当前作业的日志文件。 2.4 DeepSeek服务停止 上述示例中，DeepSeek服务的JOB ID为403，如果需停止DeepSeek服务，命令为： plaintext scancel 403 或 scancel me

参数 说明 增量包类型 选择批量数据迁移增量包。 计费方式 选择按需计费。 可用区 请根据实际需求选择区域和可用区。 工作空间 选择需要使用批量数据迁移增量包的工作空间。 例如在DataArts Studio实例test的A工作空间中按需创建批量数据迁移的增量包，这里工作空间选择A。 创建成功后，即可通过A工作空间查看到已经创建的批量数据迁移集群。 集群名称 自定义批量数据迁移集群名称。 实例类型 目前批量数据迁移集群支持以下规格供用户选择： cdm.medium：4核CPU、8G内存的虚拟机，最大带宽/基准带宽为1.5/0.4Gbps，能够并发执行的作业个数为20，适合单张表规模<1000万条的场景。 cdm.large：8核CPU、16G内存的虚拟机，最大带宽/基准带宽为3/0.8Gbps，能够并发执行的作业个数为30，适合单张表规模≥1000万条的场景。 cdm.xlarge：16核CPU、32G内存的虚拟机，最大带宽/基准带宽为10/4Gbps，能够并发执行的作业个数为100，适合使用10GE高速带宽进行TB以上的数据量迁移。 虚拟私有云 批量数据迁移集群所属VPC、子网、安全组，需确保批量数据迁移集群与待连接的数据源能正常通信。 用户可以根据批量数据迁移迁移的数据源端、目的端所处网络进行选择： 如果批量数据迁移集群与待连接的数据源所属不同的VPC，或者待连接的为本地数据源时，批量数据迁移集群需要绑定EIP，通过公网通信。 如果待连接的数据源为云上服务，则推荐批量数据迁移集群的网络配置与该云服务一致，此时批量数据迁移集群不用绑定EIP，通过内网通信。 如果待连接的数据源为云上服务，批量数据迁移与它在同一个VPC但所属不同子网，则可以通过配置安全组规则来使批量数据迁移集群与云服务间的网络互通。VPC、子网、安全组的详细操作，请参见《 子网 DataArts Studio实例中的数据集成CDM集群所属的VPC。 VPC即虚拟私有云，是通过逻辑方式进行网络隔离，提供安全、隔离的网络环境。 如果DataArts Studio实例或CDM集群需连接云上服务（如DWS、MRS、RDS等），则您需要确保CDM集群与该云服务网络互通。 同区域情况下，同虚拟私有云、同子网、同安全组的不同实例默认网络互通，如果同虚拟私有云而子网或安全组不同，还需配置路由规则及安全组规则。 说明 目前CDM实例创建完成后不支持切换虚拟私有云，请谨慎选择所属虚拟私有云。 安全组 DataArts Studio实例中的数据集成CDM集群所属的安全组。 安全组是一组对弹性云服务器的访问规则的集合，为同一个VPC内具有相同安全保护需求并相互信任的弹性云服务器提供访问策略。 如果DataArts Studio实例或CDM集群需连接云上服务（如DWS、MRS、RDS等），则您需要确保CDM集群与该云服务网络互通。 同区域情况下，同虚拟私有云、同子网、同安全组的不同实例默认网络互通，如果同虚拟私有云而子网或安全组不同，还需配置路由规则及安全组规则。 说明 目前CDM实例创建完成后不支持切换安全组，请谨慎选择所属安全组。

本文将向您介绍如何使用边缘安全加速平台安全与加速服务提供的攻击挑战功能。 功能介绍 攻击挑战，即反复攻击惩罚，指自动阻断在短时间内发起多次 Web 攻击（规则引擎触发）的客户端 IP，一段时间内阻止所有请求，阻断日志可以在攻击日志中查看，可以快速拦截恶意攻击 Web 的 IP，快速应对恶意扫描及代理、Web 攻击威胁等行为，可提升攻防对抗效率。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 开通套餐为基础版及以上版本，支持攻击挑战（反复攻击惩罚）相关功能。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【Web应用防火墙】菜单，并在左侧域名列表选择您要防护的域名。 3. 进入防护能力高级安全防护【攻击挑战】详细设置页。 配置说明 防护开关 攻击挑战功能的总开关，关闭时攻击挑战的配置策略将不生效。 配置项说明 配置项 说明 开关 防护策略开关，可选择开启或者关闭策略 命中防护规则 仅勾选的攻击类型会做统计，勾选范围为目前边缘安全加速平台支持防护的Web攻击类型 封禁对象 即统计粒度，支持一种粒度或两种粒度组合, 支持粒度缺失统计 粒度缺失统计 当客户端IP、客户端端口、服务端口其中两种粒度组合时，不展示,这两个粒度不可能缺失 触发条件 在【统计周期】之内，【统计粒度】触发防护规则次数达到【阈值】次，则执行【处理动作】 统计频率：防护策略的统计周期，支持配置秒、分、时单位 触发阈值：即触发已选攻击类型的攻击阈值。有两种触发条件：命中防护规则达N次、命中防护规则ID达M个，当两者同时配置时，攻击满足两个条件才会触发拦截 封禁时长：即拦截持续时间 处理动作 请求触发攻击挑战策略后的处理动作，可选择拦截或者告警 处理动作持续时长 满足触发条件后，处理动作会持续的时间 例外的规则ID 例外的规则ID，规则ID可在域名规则中查询 例外客户端IP 不需要经过攻击挑战策略的客户端IP 描述 多行文本，能够输入此条防护规则的相关描述，最多支持输入200个字符

本节介绍了如何创建所需的VPC和安全组。 创建VPC和安全组，为创建云数据库GaussDB 实例准备网络资源和安全组。 创建VPC 1. 登录天翼云控制台。 2. 单击管理控制台左上角的，选择区域。 3. 单击左侧的服务列表图标，选择“网络 > 虚拟私有云”。 进入虚拟私有云信息页面。 4. 单击“创建虚拟私有云”购买VPC。 5. 单击“立即创建”。 6. 返回VPC列表，查看创建VPC是否创建完成。 当VPC列表的VPC状态为“可用”时，表示VPC创建完成。 创建安全组 1. 登录天翼云控制台。 2. 单击管理控制台左上角的，选择区域。 3. 单击左侧的服务列表图标，选择“网络 > 虚拟私有云”。 进入虚拟私有云信息页面。 4. 选择“访问控制”>“安全组”。 5. 单击“创建安全组”。 6. 填写安全组名称等信息。 7. 单击“确定”。 8. 返回安全组列表，单击安全组名称“sgd1ce”。 9. 选择“入方向规则”，单击“添加规则”。 10. 配置入方向规则，添加源库的IP地址。

本文主要介绍零信任网络服务。 服务整体介绍 天翼云边缘安全加速平台零信任网络产品依托中国电信强大网络资源和天翼云全球分布式边缘节点，融合先进云原生技术，为企业提供集零信任远程办公、终端管理、办公组网、全球加速于一体的综合性解决方案，满足企业数字化转型中对网络性能、安全保障和业务灵活性的需求，助力企业实现高效安全的数字化运营。​凭借天翼云国内超 2000+个节点（覆盖多运营商及主要省市）、海外 800 多个节点（遍布全球主要国家和地区）的资源优势，运用智能选路、传输优化等技术，满足不同协议网络加速需求，提升网络访问速度和用户体验。同时，通过全面安全升级和功能联动，一站式解决企业网络安全问题。 服务架构 天翼云AOne零信任网络服务主要具备远程办公、终端管理、办公组网、全球加速四大能力模块，功能模块相互关联、深度协作，从身份认证、设备管控到网络传输优化，全方位为企业提供一体化产品解决方案，这种协同不仅提升了企业网络的安全性、稳定性和性能，还为企业在复杂多变的网络环境中提供了全面、高效的保障，满足企业数字化转型和全球化发展的多样化需求。

本文带您了解AI Store的产品优势。 全域AI资产聚合 汇聚算力、模型、应用、MCP四大类AI资产，覆盖多种行业需求，实现"一站式"采购体验。 全栈工具链支持 提供从算力调度、模型推理、应用开发、工具调用到运维管理的全链路服务支持，灵活选择所需的AI能力组件，快速构建自身的AI应用。 多种交付模式融合 创新性地支持"公有云、专属云、私有化"三种交付模式，满足不同客户的多样化需求。 公有云：资源(包括服务器、存储、网络）、部署、安全与监控均由天翼云提供和控制，客户拥有使用权。适合业务波动大、弹性扩展、快速迭代的场景。 专属云：运行在物理隔离的专用硬件上，独享资源环境，性能、安全更有保障。既相对独立，又保留了云服务的便捷。 适合对性能和安全有较高要求的场景。 私有化：部署在客户自有数据中心，所有资源、数据、运维完全由客户控制和管理。适合对数据安全和合规有极高要求的场景，或核心业务系统和敏感数据处理的场景。 安全可信生态体系 所有上架的算力资源、模型服务、应用产品和MCP能力均经过严格的安全审核和合规认证，确保数据安全和主权可控 。

本文介绍如何创建多可用区的Pod。 在面临突增流量时，您可能需要迅速水平扩展业务或启动众多实例以处理任务。这种情况下，您可能遭遇特定可用区内实例规格库存短缺或耗竭等问题，导致ECI实例创建不成功。借助Serverless集群的多可用区功能，可以有效提高ECI实例的创建成功率。 使用方法 Serverless集群目前支持单可用区部署和多可用区部署。 单可用区部署：在订购云容器引擎Serverless版页面中，在部署模式下选择单可用区部署，接着需要在可用区里面手动指定可用区。 多可用区部署：在订购云容器引擎Serverless版页面中，在部署模式下选择多可用区部署。多可用区部署系统会将容器实例平均分配至各可用区，建议您选择多可用区部署，实现控制平面高可用。

本文介绍弹性容器实例自定义权限策略参考。 如果系统权限策略不能满足您的要求，您可以创建自定义权限策略实现最小授权。使用自定义权限策略有助于实现权限的精细化管控，是提升资源访问安全的有效手段。本文介绍ECI使用自定义权限策略的场景和策略示例。 什么是自定义权限策略 在基于IAM的访问控制体系中，自定义权限策略是指在系统权限策略之外，您可以自主创建、更新和删除的权限策略。自定义权限策略的版本更新需由您来维护。 创建自定义权限策略后，需为IAM用户或用户组绑定权限策略，这些IAM身份才能获得权限策略中指定的访问权限。 已创建的权限策略支持删除，但删除前需确保该策略未被引用。如果该权限策略已被引用，您需要在该权限策略的引用记录中移除授权。 自定义权限策略支持版本控制，您可以按照IAM规定的版本管理机制来管理您创建的自定义权限策略版本。 操作文档参考 创建自定义策略 编辑策略 删除策略 常见自定义权限策略场景及示例 如果您使用IAM子账号或委托账号操作ECI资源（如虚拟节点），需要为其添加以下自定义权限策略。 shell { "Version": "1.1", "Statement": [ { "Action": [ "eci:containers:describeContainerGroup", "eci:containers:describeContainerGroups", "eci:containers:deleteContainerGroup", "eci:virtualNode:describeVirtualNodes", "eci:virtualNode:createVirtualNode", "eci:virtualNode:deleteVirtualNode", "eci:virtualNode:updateVirtualNode" ], "Resource": [ "" ], "Effect": "Allow" } ] }

本章节介绍如何使用云原生网关实现后端访问签名 概述 后端访问签名功能支持您在后端服务中开启身份认证后，填写设定的一对Access Key和Secret Key，并根据选择的认证算法和加密算法，以及加密Headers列表，计算出相应的签名信息。当通过网关请求该服务时，会将该服务的签名信息设置在Header请求头中，从而后端服务对比网关的签名和服务器端计算的签名是否一致进行身份验证与鉴权。 前提 1. 已开通云原生网关实例 2. 已部署能够进行验证Header签名信息的后端服务 网关中实现后端访问签名 1. 部署服务，可选择容器部署、Nacos注册或固定地址。 2. 进入服务详情。 3. 后端访问签名栏点击编辑。 4. 打开 开启身份认证开关。 5. 选择认证算法（目前云原生网关只支持Hmac算法，后续将支持更多算法），填写加密关键信息。 6. 点击保存。 7. 为该服务创建路由。 8. 请求路由。 其中，Hmac认证算法的关键属性如下： 名称 描述 Access Key 唯一标识符。 Secret Key 与Access Key配对使用。 加密算法 支持hmacsha1，hmacsha256和hmacsha512三种加密算法。 加密Headers列表 要在加密计算中使用的headers 列表。指定后客户端请求只能在此范围内指定 headers，如果未指定，就会在所有客户端请求指定的 headers 加入加密计算。 URL参数编码 当设置为是时，将对签名中的URI参数进行编码，默认为是。

本节介绍节点池管理用户指南。 前提条件 创建分布式容器云平台的注册集群，并将自建Kubernetes集群以内网方式接入注册集群。 自建Kubernetes集群的网络与云上注册集群使用的VPC网络互通。 集群容器网络互通，搭建混合云网络，云上容器网络与云下容器网络互通。 创建节点池 创建流程 需要根据用户的环境和上图的判断条件，最终确定使用提前预装软件包的自定义OS镜像，或是根据实例脚本构建节点部署脚本，完成节点池创建。 部署脚本构建 步骤一：创建节点部署脚本 1. 获取集群信息。 shell 获取k8s集群版本号，后续设置到示例脚本环境变量KUBEVERSION中 kubectl get no $(kubectl get nodes l noderole.kubernetes.io/controlplane o json jq r '.items[0].metadata.name') o json jq r '.status.nodeInfo.kubeletVersion' 输出示例 v1.31.6 获取运行时及版本号，后续设置到示例脚本环境变量RUNTIMEVERSION中 kubectl get no $(kubectl get nodes l noderole.kubernetes.io/controlplane o json jq r '.items[0].metadata.name') o json jq r '.status.nodeInfo.containerRuntimeVersion' 输出示例 containerd://1.6.28 获取kubeadm添加节点命令。需要设置为永不过期，避免节点池弹性伸缩失效。添加到部署脚本环境变量KUBEADMJOINCMD kubeadm token create ttl 0 printjoincommand

本节主要介绍产品定义 应用运维管理（Application Operations Management）是云上应用的一站式运维管理平台，实时监控应用及云资源，采集各项指标、日志及事件等数据，提供告警及数据可视化功能，帮助您及时发现故障，全面掌握应用、资源及业务的实时运行状况。 运维遇到挑战 随着容器技术的普及，越来越多的企业通过微服务框架开发应用，业务实现更多使用云上服务，运维也转向云上的运维服务。对于云上应用的运维也提出了新的挑战： 运维人员技能要求高，配置繁杂，同时需要维护多套系统。对于分布式追踪系统，学习和使用成本高，并且稳定性差。 云化场景下的分布式应用问题分析困难主要表现在如何可视化微服务间的依赖关系、如何提高应用性能体验、如何将散落的日志进行关联分析、如何快速追踪问题。 AOM帮您解决 应用运维管理（Application Operations Management）是云上应用的一站式运维管理平台，实时监控应用及云资源，采集各项指标、日志及事件等数据，提供告警及数据可视化功能，帮助您及时发现故障，全面掌握应用、资源及业务的实时运行状况。

本章节主要介绍翼MapReduce的切换Ranger鉴权操作。 操作场景 新安装的安全模式集群默认即安装了Ranger服务并启用了Ranger鉴权，用户可以通过组件的权限插件对组件资源的访问设置细粒度的安全访问策略。若不需使用Ranger进行鉴权，管理员可在服务页面手动停用Ranger鉴权，停用Ranger鉴权后，访问组件资源时系统将继续基于FusionInsight Manager的角色模型进行权限控制。 从历史版本升级的集群，用户访问组件资源时默认不使用Ranger鉴权，管理员可在安装了Ranger服务后手动启用Ranger鉴权。 说明 安全模式集群中，支持使用Ranger鉴权的组件包括：HDFS、Yarn、Kafka、Hive、HBase、Storm、Spark2x、Impala。 非安全模式集群中，Ranger可以支持基于OS用户进行组件资源的权限控制，支持启用Ranger鉴权的组件包括：HBase、HDFS、Hive、Spark2x、Yarn。 启用Ranger鉴权后，该组件所有鉴权将由Ranger统一管理，原鉴权插件设置的权限将会失效（HDFS与Yarn的组件ACL规则仍将生效），请谨慎操作，建议提前在Ranger上做好权限部署。 停用Ranger鉴权后，该组件所有鉴权将由组件自身权限插件管理，Ranger上设置的权限将会失效，请谨慎操作，建议提前在Manager上做好权限部署。 启用Ranger鉴权 1. 登录FusionInsight Manager。 2. 选择“集群 > 服务”。 3. 单击服务视图中指定的服务名称。 4. 在服务详情页面单击“更多”，选择“启用Ranger鉴权”。 5. 输入当前登录的用户密码确认身份，单击“确定”。 6. 在服务列表，重启配置过期的服务。

原因 解决方案 后端服务地址错误。 在编辑API中修改后端服务地址。如果是域名，请确认域名能正确解析到后端服务IP地址。 后端超时时间设置不合理。当后端服务没有在设置的后端超时时间内返回时，API网关提示后端服务调用失败。 在编辑API中增加后端超时时间。 如果“后端服务地址”在ECS（Elastic Cloud Server），ECS的安全组的出/入方向规则可能拦截了请求。 检查后端服务所在ECS的安全组，确保出/入方向端口规则和协议都设置正确。 请求协议配置错误，如后端服务为HTTP，在API网关配置为HTTPS。 注册的API与后端服务配置相同的协议。

密钥创建后，可在工作负载环境变量和数据卷两个场景使用。 须知： 如下密钥为CCE系统使用的，请勿对其做任何操作。 不要操作kubesystem下的secrets。 不要操作任何命名空间下的defaultsecret、paas.elb。其中，defaultsecret用于SWR的私有镜像拉取，paas.elb用于该命名空间下的服务对接ELB。 使用密钥配置Pod的数据卷 使用密钥设置Pod的环境变量 本节以下面这个所Secret为例，具体介绍Secret的用法。 apiVersion: v1 kind: Secret metadata: name: mysecret type: Opaque data: username: myusername 用户名 password: 需要用Base64编码 说明：在Pod里使用密钥时，需要Pod和密钥处于同一集群和命名空间中。 使用密钥配置Pod的数据卷 密钥可以在Pod中作为文件使用。如下面的Pod示例所示，mysecret密钥的username和password以文件方式保存在/etc/foo目录下。 apiVersion: v1 kind: Pod metadata: name: mypod spec: containers: name: mypod image: redis volumeMounts: name: foo mountPath: "/etc/foo" readOnly: true volumes: name: foo secret: secretName: mysecret 另外，还可以指定密钥的目录路径和权限，username存放在容器中的/etc/foo/mygroup/myusername目录下。 apiVersion: v1 kind: Pod metadata: name: mypod spec: containers: name: mypod image: redis volumeMounts: name: foo mountPath: "/etc/foo" volumes: name: foo secret: secretName: mysecret items: key: username path: mygroup/myusername mode: 511 挂载Secret到数据卷还可以在界面上进行操作，在创建工作负载时，设置容器的高级设置，选择数据存储，添加本地磁盘，选择Secret即可配置。具体请参见密钥(Secret)挂载.docx

弹性云主机(CTECS,Elastic Cloud Server)是一种可随时获取、弹性可扩展的计算服务。云主机由 CPU、内存、镜像、云硬盘组成,同时结合VPC、安全组、数据多副本保存等能力,打造一个既高效又可靠安全的计算环境,确保服务持久稳定运行。

本文介绍边缘安全加速平台终端管理套餐版本的情况。 产品介绍 通过整合防病毒、漏洞修复、软件与外设管控、AI安全检测等能力，依托智能中台实现统一策略管理，精准解决资产不可视、风险难追溯、处置效率低等核心痛点，打破安全与业务效率的对立僵局，成为企业数字化转型的一站式终端安全防护与提效平台。 套餐和版本概述 天翼云边缘安全加速平台终端管理支持包年包月计费模式。目前终端管理已支持：基础版、企业版。 适用的业务规模 下表描述了“终端管理基础版”和“终端管理企业版”适用的业务规模与价格。零信任服务与终端管理可联动服务，零信任服务企业版本默认包含终端管理基础版功能。 注意 终端管理授权（端点数）按照设备的维度去使用和扣除，在设备接入企业时扣除授权。 举例，如果企业有100台设备需要进行终端管理，则这100台设备将占用100个终端管理授权。 设备范围包括：Windows系统、macOS系统、信创系统（麒麟/统信）。 业务规格 终端管理基础版 终端管理企业版 价格 10元/个/月 25元/个/月 版本功能列表 下表描述了主要功能模块在不同套餐中的支持情况。 注意 部分功能可能有最低AOne客户端版本号限制，客户端版本号限制详情见各个功能页面。 √：表示在当前版本中支持。 ×：表示在当前版本中不支持。 功能模块 一级能力 二级能力 终端管理基础版 终端管理企业版 总览 终端态势大屏 终端监测管控 × √ 终端安全态势 × √ 安全防护 病毒查杀 病毒查杀 √ √ 病毒库更新 √ √ 黑白名单 √ √ 实时防护 文件实时防护 √ √ U盘防护 √ √ 局域网共享防护 ×（限时免费） √ 多引擎查杀 多引擎查杀 × √ 漏洞补丁 漏洞修复 √ √ 补丁管理 √ √ 周期扫描/下发扫描 √ √ AI安全检测 AI 应用发现 × √ AI 应用管控 × √ AI应用漏洞检测 × √ 威胁检测与响应 高级威胁检测 × √ 勒索专项防护 × √ 网络攻击防护 × √ 防钓鱼 IM防钓鱼 ×（限时免费） √ 邮件防钓鱼 ×（限时免费） √ IT管理 外设管控 U盘管控 √ √ 便携设备管控 √ √ 外设白名单 √ √ 办公净化 广告弹窗拦截 √（限时免费） √ 问题软件防护 √（限时免费） √ 软件管理 软件分析 √ √ 软件管控 √ √ 风险软件 √ √ 正版管理 √ √ 上网管控 上网分析 √ √ 上网管控 √ √ 合规检测 合规检测 √ √ 其他服务 资产梳理 设备列表 √ √ 身份 用户与组织 √ √ 接入DeepSeek 满血版DeepSeek √ √ 自保护 防退出 √ √ 防卸载 √ √ 日志 终端登录日志 √ √ 平台操作日志 √ √

本章节介绍人脸识别安全相关的常见问题与解答。 是否可以设置IP白名单呢？ 人脸识别是API服务，暂不支持白名单设置，您可以在自己的服务器上调用我们的服务。 调用过程中如遇到问题，可通过天翼云官网工单或者客服电话【4008109889】沟通。 人脸识别传输的数据是否经过加密呢？ 天翼云人脸识别采用天翼云官网标准EOP网关，在整个数据传输过程中，从源端到目的端，都采取了一系列的安全措施，包括身份验证、加密技术和授权机制、数据完整性保护机制和数据恢复机制等，这些措施可以确保数据传输的安全性和可靠性，提高系统的安全性。 若您的数据比较敏感、安全保密性要求高的话，可考虑使用私有化部署。 使用人脸识别服务，图片数据是否会存储？ 天翼云一直注重保护客户隐私，图片数据不会存储。 同时因相关规定限制，人脸识别公有云服务数据不落盘，用户的原始图片和识别数据均不作保留，使用人脸识别服务后，图片数据就会立即释放，不会存储。

本章节介绍内容审核安全相关的常见问题与解答。 是否可以设置IP白名单呢？ 内容识别产品提供API服务，暂不支持白名单设置，您可以在自己的服务器上调用我们的服务。 调用过程中如遇到问题，可通过天翼云官网工单或者客服电话【4008109889】沟通。 内容审核传输的数据是否经过加密呢？ 天翼云内容审核采用天翼云官网标准EOP网关，在整个数据传输过程中，从源端到目的端，都采取了一系列的安全措施，包括身份验证、加密技术和授权机制、数据完整性保护机制和数据恢复机制等，这些措施可以确保数据传输的安全性和可靠性，提高系统的安全性。 若您的数据比较敏感、安全保密性要求高的话，可考虑使用私有化部署。 使用内容审核服务，图片数据是否会存储？ 天翼云一直注重保护客户隐私，图片数据不会存储。 同时因相关规定限制，内容审核公有云服务数据不落盘，用户的原始图片和识别数据均不作保留，使用内容审核服务后，图片数据就会立即释放，不会存储。

本节介绍云安全中心服务协议，请点击查看。 天翼云云安全中心服务协议