本文主要介绍入门指引。 本文将为您介绍分布式消息服务Kafka入门的基本流程，主要包括控制台创建Kafka专享版实例、使用弹性云主机连接实例的操作，帮助您快速上手Kafka。 您还可以通过API方式创建Kafka实例、在业务代码中连接Kafka实例。 操作流程 图Kafka使用流程 1. 环境准备 Kafka实例运行于虚拟私有云中，在创建实例前需要确保有可用的虚拟私有云。 Kafka实例创建后，您需要在弹性云主机中下载和安装Kafka开源客户端，然后才能进行生产消息和消费消息。 2. 创建Kafka实例 在创建实例时，您可以选择是否开启SASL访问，开启后，数据加密传输，安全性更高。同时，SASL开关只能在创建实例时设置，实例创建成功后，不支持修改。 3. （可选）创建Topic Kafka实例创建成功后，如果没有开启“Kafka自动创建Topic”，需要手动创建Topic，然后才能进行生产消息和消费消息。 4. 连接实例 针对实例是否开启SASL开关，在连接时是否需要下载证书，区分以下两种场景： 未使用SASL：包含内网访问和公网访问。 使用SASL：包含内网访问和公网访问。 5. 配置告警 配置Kafka实例监控告警策略，监控实际业务运行状态。 说明 关于Kafka的相关概念，请参考

AppKey和AppSecret 客户端调用API 时，需要使用已授权签名密钥对请求内容的关键数据进行加密签名计算，并且将APP Key和加密后生成的字符串放在请求的 Header 传输给API网关，API网关会读取请求中的APP Key的头信息，并且根据APP Key的值查询到对应的APP Secret的值，使用APP Secret对收到的请求中的关键数据进行签名计算，并且使用自己的生成的签名和客户端传上来的签名进行比对，来验证签名的正确性。只有签名验证通过的请求才会发送给后端服务，否则API网关会认为该请求为非法请求，直接返回错误应答。 AppCode简单认证 扩展功能，暂未上线，作为保留字段。 AppCode简单认证就如同字面含义，旨在为用户提供一种快捷简单的认证方式去进行授权签名，无需在客户端实现复杂的签名算法，其作用等同于AppKey和AppSecret配对使用的效果。 后续将会允许用户通过header或者query参数调用AppCode，进行简单认证。 注意 简单认证方式调用非常省事，免去了复杂的签名过程，但是把AppCode作为明文暴露网络中传输，会带来一些安全隐患，存在丢失AppCode的风险。 API对消费者鉴权和自定义鉴权插件之间的关系? 消费者/应用配置可以在不同资源池中可以共享，在租户/用户级别上是隔离的，也即是说用户User1在区域Region1创建了的应用AppA，当用户User1切换区域到RegionB后，在应用列表可以看到AppA，并且可以对AppA进行修改、解除API的授权等操作，该操作在用户User1下所有区域及区域下已授权的所有API中进行同步。 自定义鉴权插件，对网关来讲属于实例级别的应用范围。用户在当前实例Instance1下添加的鉴权配置（插件配置管理），只适用于实例Instance1中所有的API。 总体来讲，消费者适用于租户级别下的API授权管理，不受区域、资源池、实例的限制；自定义鉴权插件，通常是作用与实例级别下的API授权管理，范围更小。

本节主要介绍如何在智能视图服务控制台管理策略。 策略指子用户拥有的操作权限合集，一条策略可以分配给多个子用户。 策略列表 在策略列表可查看该账户下的所有策略，当前策略模块为用户提供了两种类型的策略，分别对应生效于用户模块与角色模块。 系统内置策略集包含了（生效于用户的：所有访问权限和只读访问权限，以及生效于角色的：角色访问权限），同时也支持用户创建自定义策略。所有策略支持查看对应子用户的绑定关系，自定义策略支持编辑、删除。 单个策略可查看绑定该策略的所有用户，并支持快捷解绑。 创建策略 进入访问管理的策略页面，点击【新建自定义策略】，进入创建策略页面。当策略类型选择【用户策略】时： 配置项说明： 策略名及描述：策略的展示名称和该策略的描述说明，方便区分策略。 权限集：控制台各类功能模块的操作集合，勾选则表示分配该项操作权限，未勾选则表示不具备该项操作权限，可对子用户创建多个权限集。 权限效果：支持类别包括允许和拒绝，当授权时发生同一目标资源，相同权限交叉时（即既包含允许权限，也包含拒绝权限），拒绝的优先级将高于允许。 前置依赖：意为若需要正常使用当前权限，需具备的前置权限条件。如“删除设备”的允许权限，前置依赖为“查询设备”，即若子用户能正常地使用“删除设备”权限，则需先具备“查询设备”的权限。反之拒绝类的权限同理，若设置了拒绝“查询设备”的权限，则“修改设备”、“删除设备”等权限均会默认拒绝，平台会默认按用户所选权限进行前置依赖的勾选。 资源：配置用户操作的资源范围，资源配置粒度为设备；勾选某个目录时，则拥有该策略的用户可操作对应目录下的所有设备。 当策略类型选择【角色策略】时： 配置项说明： 策略名及描述：策略的展示名称和该策略的描述说明，方便区分策略。 资源：配置用户操作的资源范围，资源配置粒度为设备；勾选某个目录时，则拥有该策略的用户可操作对应目录下的所有设备。

本文介绍弹性容器实例ECI的功能特性。 容器运行服务 弹性容器实例是一种敏捷安全的Serverless容器运行服务。每个ECI实例都对应一个容器组（即一个Pod），其中包含vCPU、内存、操作系统、容器运行时、网络和临时存储等基础组件。 Serverless 使用ECI实例，您只需要提供打包好的镜像，即可运行容器应用，无需关注底层基础架构的管理和运维问题。 自定义规格 ECI实例支持多种类型的计算资源来运行容器，您可以指定实例级别或容器级别的vCPU和内存，以及指定规格满足特殊业务需求。 按量计费 支持一站式管理ECI实例的生命周期，按照实际实例运行时长内消耗的资源计费。 秒级弹性伸缩 ECI实例具备秒级启动的能力，可以快速完成扩缩容操作，满足业务实时响应的需求。 镜像缓存 支持使用镜像缓存功能来加速ECI实例创建，减少实例启动耗时。 兼容Kubernetes 通过 Virtual Kubelet 技术，弹性容器实例ECI 可以接入 Kubernetes 集群的虚拟节点，实现集群的弹性扩容，无需受限于节点的计算容量。在 ECI 接管 Pod 容器底层基础设施管理工作之后，Kubernetes 将不再需要直接管理单个 Pod 的启动、放置等工作，也不再需要关注底层虚拟机的资源情况，相应的资源将由 ECI 确保随时可用。 目前，ECI 已无缝集成到Serverless容器引擎SCE产品中，您可以通过Serverless容器集群快速体验ECI的强大容器运行能力。

本节介绍了事件监控。 事件监控提供了事件类型数据上报、查询和告警的功能。方便您将业务中的各类重要事件或对云资源的操作事件收集到云监控服务，并在事件发生时进行告警。 事件即云监控服务保存并监控的RDS资源的关键操作，您可以通过“事件”了解到谁在什么时间对系统哪些资源做了什么操作，如重置数据库管理员密码、修改备份策略等。 事件监控默认开通，您可以在事件监控中查看系统事件和自定义事件的监控详情，目前支持的系统事件请参见事件监控支持的事件说明。 事件监控为您提供上报自定义事件的接口，方便您将业务产生的异常事件或重要变更事件采集上报到云监控服务。

本文介绍产品订购开通后如何变更加速区域。 背景说明 1. 本文档介绍的加速区域变更，是指CDN加速产品开通中的加速区域变更，非CDN控制台域名管理中的加速区域变更，两者是独立的变更操作关系。 2. CDN控制台域名管理中的加速区域选择全球（不含中国内地）或全球，均需同时开通CDN加速产品的中国内地和全球（不含中国内地）加速区域。 变更说明 加速区域变更的场景如下： 场景1 针对仅开通过CDN加速（中国内地）的客户，如需新增全球（不含中国内地）加速区域，即变更为全球加速，当前支持通过登录CDN控制台，单击【计费详情】【CDN加速】，参照如下操作说明进行加速区域的变更： 1. 进入CDN加速计费详情后，单击【操作】下的【变更加速区域】，进入变更加速区域界面。 2. 勾选“我已阅读，理解并接受《天翼云CDN服务协议》”，确认无误后，单击【变更加速区域】，即可完成加速区域变更。 场景2 针对已同时开通CDN加速中国内地和全球（不含中国内地）加速区域的客户，如需减配全球（不含中国内地）加速区域，即变更为仅中国内地加速，当前支持通过登录CDN控制台，单击【计费详情】【CDN加速】，参照如下操作说明进行加速区域的变更： 1. 进入CDN加速计费详情后，单击【操作】下的【变更加速区域】，进入变更加速区域界面。 2. 勾选“我已阅读，理解并接受《天翼云CDN服务协议》”，确认无误后，单击【减配加速区域】，即可完成加速区域的变更。 注意事项 1. 中国内地为CDN加速产品必须开通的加速区域，即不支持单独开通CDN加速产品的全球（不含中国内地）加速区域。 2. 增配加速区域，仅指产品开通中的加速区域由中国内地变更为中国内地+全球（不含中国内地）。 3. 减配加速区域，仅指产品开通中的加速区域由中国内地+全球（不含中国内地）变更为中国内地。

问题描述 同一个VPC内的两台弹性云主机无法互通或者出现丢包等现象。 排查思路 建议您从以下几个原因去排查问题，可以优先排查高频率原因。从而减少排查次数，快速找到根因。以下排查思路根据原因出现的概率从高到低进行排序。 ECS网卡对应安全组规则未放通 排查弹性云主机网卡对应的安全组是否放通了出方向和入方向的协议的报文。 以入方向的ICMP报文为例，安全组规则需要包含下图中的任意一条规则。 若您的业务需要的是其他协议的报文，需放通相应协议的安全组规则。例如，测试的是TCP报文，则需检查安全组是否有规则放通出入方向的TCP协议。 ECS网卡所在子网关联的网络ACL规则未放通 1. 查看弹性云主机的网卡是否处于网络ACL的关联子网中。 2. 在网络ACL列表中查看网络ACL的状态。 状态显示“已开启”，则表示网络ACL已经开启。执行第三步。 状态显示“未开启”，则表示网络ACL已经关闭。执行第四步。 3. 网络ACL关闭时，默认不放行出入方向所有协议。此时，请开启ACL并放通相应协议的报文或者是解除ACL与子网的关系并重新关联。 4. 单击网络ACL名称，分别在“入方向”和“出方向”的页签下添加相应协议的放通规则。 ECS网卡内部网络配置问题 以下步骤以Linux系统为例，Windows操作系统请检查系统防火墙限制。 1. 确认弹性云主机是否有多网卡配置。 2. 登录弹性云主机，执行以下命令，查看网卡是否创建且网卡获取私有IP地址。若无网卡信息或者无法获取私有IP地址，请联系技术支持。 ifconfig 3. 执行以下命令，查看弹性云主机的CPU占用率是否过高，CPU占有率超过80%有可能会影响ECS通信。 top 4. 执行以下命令，查看弹性云主机内容部是否有安全规则的其他限制。 iptablessave 5. 执行以下命令，查看“/etc/hosts.deny”文件中是否包含了限制通信的IP地址。 vi /etc/hosts.deny 如果hosts.deny文件里面包含了对端的IP地址，请将该IP从hosts.deny文件中删除并保存文件。

AOM告警规则状态为什么显示“数据不足”？ AOM告警规则中，资源项有时会出现数据不足的情况，如下图所示。 可能的原因如下： 1、数据上报延迟过大（曲线图最新数据上报时间和当前时间的时间差大于一个周期，阈值上报周期设定中可选1分钟和5分钟），上报周期内获取不到数据会报数据不足。 2、指标删除或指标所在的宿主已不存在，而阈值规则仍在，此时会报数据不足。 正常状态的工作负载，AOM界面显示异常是什么原因？ 在AOM页面看到工作负载的状态显示异常，但是实际上在CCE页面看工作负载是正常的。 查看工作负载状态 可能的原因如下： 1、ICAgent的版本过低。 ICAgent当前需要用户主动升级的，但是过旧的ICAgent版本可能存在状态上报延迟导致显示异常的问题。 遇到工作负载状态显示不对的情况，首先在Agent管理页面查看ICAgent的版本是不是最新的。 查看ICAgent的版本 2、节点的时间与实际不同步。 如果节点时间与实际时间相差过大，会导致ICAgent指标上报延迟，从而导致状态判断出现问题。 遇到工作负载状态显示不对的问题，需要排查节点的时间与当前时间相比是否过快或过慢，也可以通过在AOM页面查看NTP指标的偏移进行确认。 如何创建委托apmadmintrust? 创建委托 步骤 1 登录统一身份认证控制台。 步骤 2 在左侧导航栏，单击“委托”，进入委托页面。 步骤 3 单击右上角“创建委托”，进入创建委托页面。 步骤 4 参考下表设置创建委托的参数。 创建委托 名称 说明 样例 委托名称 标识该委托代理的名称。说明委托名称必须为apmadmintrust。 apmadmintrust 委托类型 选择“普通帐号”。 普通帐号 委托帐号 请输入被委托的帐号名称。 持续时间 选择“永久” 永久 描述 可选参数，用于补充说明该委托代理的详细信息。 步骤 5 在“权限选择”区域，单击“配置权限”。 步骤 6 配置以下权限： DMS User（或DMS UserAccess）、CCE Administrator、 CCI Administrator、ECS User（或ECS CommonOperations），并在“项目[所属区域]”选定生效区域。 步骤 7 单击“确定”，委托关系创建成功。

参数 参数说明 集群名称 集群的名称，创建集群时设置。 集群状态 集群状态信息。 集群版本 集群的版本信息。 集群类型 创建集群时的集群类型。 集群ID 集群的唯一标识，创建集群时系统自动赋值，不需要用户设置。 创建时间 显示集群创建的时间。 可用区 集群工作区域下的可用区，创建集群时设置。 默认生效子网 子网信息，创建集群时所选。 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。 虚拟私有云 VPC信息，创建集群时所选。 VPC即虚拟私有云，是通过逻辑方式进行网络隔离，提供安全、隔离的网络环境。 OBS权限控制 单击“单击管理”，修改MRS用户与OBS权限的映射关系，具体请参考 数据连接 单击“单击管理”，查看集群关联的数据连接类型，具体请参考 委托 单击“管理委托”，为集群绑定或修改委托。 通过绑定委托，您可以将部分资源共享给ECS或BMS云服务来管理，例如通过配置ECS委托可自动获取AK/SK访问OBS，具体请参见 密钥对 密钥对名称，创建集群时设置。 如果创建集群时设置的登录方式为密码，则不显示。 Keberos认证 登录Manager管理页面时是否启用Kerberos认证。 说明 Kerberos认证模式不支持手动修改，集群创建成功后将无法开启和关闭此功能，需要在创建MRS服务集群的时候选择开启或者关闭Kerberos服务，建议重新创建集群。 安全组 集群的安全组名称。 数据盘密钥名称 用于加密数据盘的密钥名称。如需对已使用的密钥进行管理，请登录密钥管理控制台进行操作。 数据盘密钥ID 用于加密数据盘的密钥ID。 组件版本 集群安装各组件的版本信息。 委托 通过绑定委托，ECS或BMS云服务将有权限来管理您的部分资源。

本文向您介绍企业版VPN中组网与使用场景类常见问题。 是否可以通过VPN实现跨境访问网站？ 不可以。 VPN实现的是将云上的VPC子网和用户侧数据中心的IDC网络打通的场景，即站点与站点互通（site to site）。 是否可以将应用部署在云端，数据库放在本地IDC，然后通过VPN实现互联？ 可以。 VPN连通的是两个子网，即云上VPC网络与用户数据中心网络。 VPN成功建立后，两个子网间可以运行任何类型的业务流量，此时应用服务器访问数据库业务在逻辑上和访问同一局域网的其它主机是相同的，因此该方案可行的。 这种场景是IPsec VPN的典型场景，请用户放心使用。 同时VPN连通以后，并不限定业务的发起方是云上还是用户侧数据中心，即用户可以从云上向用户侧数据中心发起业务，也可以反向。 注意 用户在打通VPN以后，需要关注网络延迟和丢包情况，避免影响业务正常运行。 建议用户先运行ping，获取网络的丢包和时延情况。 连接云下的多台服务器需要购买几个连接？ VPN属于IPsec VPN，它是用于打通云上VPC和用户侧数据中心子网的VPN，所以购买VPN连接的个数与服务器的数量无关，而与这些服务器所在的数据中心数量有关。 一个VPN网关支持绑定两个EIP和用户侧网关进行通信： 如果用户侧数据中心只有一个公网出口网关，所有服务器（或用户主机）都通过该网关连接至Internet：这种情况需要配置一个VPN连接组，即VPN网关的两个EIP分别配置一条VPN连接和用户侧出口网关通信。 如果用户侧数据中心只有两个公网出口网关，所有服务器（或用户主机）通过两个网关连接至Internet：这种情况需要配置两个VPN连接组，即VPN网关的两个EIP分别配置一条VPN连接和两个用户侧出口网关通信。

本章节介绍SMB协议挂载。 挂载说明 本章节挂载操作适用于天津资源池2区、天津资源池3区。 Linux系统挂载 Linux使用SMB文件资源需要使用CIFS客户端连接。以下是在 centos 7 上安装CIFS客户端并且挂载的过程。操作步骤如下： 1. 安装CIFS客户端：yum install cifsutils。 2. 执行以下命令，在主机上创建挂载目录：mkdir 本地挂载目录。 3. 执行以下命令进行资源连接，具体的挂载命令可在对应的文件系统点击【管理】，从“挂载点命令“字段获取，username与password需要根据具体的SMB用户填写。 4. 在本地挂载目录下可以进行正常的文件操作。 5. 如需卸载，可使用以下命令：sudo umount 本地挂载目录。 Windows系统挂载 通过直连模式使用的CIFS文件资源需要使用Windows系统内置的客户端。以下是在 win10 上连接 CIFS文件资源的示例。操作步骤如下： 1. 出于安全性考虑，直连文件系统使用了非默认的CIFS服务端口，因此需要在您的电脑上进行一些设置方可进行正常的连接与使用。 2. 关闭445端口，services.msc中找到Server的服务，属性禁用，然后停止服务（必要时可重启电脑）。 3. 设置端口转发，打开cmd窗口执行下列命令(其中connectaddress为您服务提供地址)：netsh interface portproxy add v4tov4 listenport445 connectaddressxxx.xxx.xxx.xxx connectport"port"。 其中connectaddress是对应文件空间的网关地址，可在对应的文件空间详情中获取，具体可参考：文件空间管理。connectport可查看挂载点信息获取（下图红框内容）。 4. 右键点击"此电脑"，选择"映射网络驱动器"，在文件夹一项中填写：127.0.0.1媒体存储控制台用户文件系统名称，勾选"登录时重新连接"和"使用其他凭证连接"，点击"完成"。 挂载点名称可查看挂载点名称获取（下图红线处内容）。 5. 输入网络凭证窗口，输入创建文件系统时设定的账号和密码，点击"确定"。 6. 连接成功后能够在此电脑网络位置中查看到文件系统。 7. 在连接成功的文件系统中可以进行正常的文件操作。 8. 如需卸载，可在磁盘上点击右键，选择"断开连接"。

此小节介绍企业主机安全基线检查 查看基线检查概览 HSS提供基线检查功能，包括检测复杂策略、弱口令及配置详情，包括对主机配置基线通过率、主机配置风险TOP5、主机弱口令检测、主机弱口令风险TOP5的统计。主动检测主机中的口令复杂度策略，关键软件中含有风险的配置信息，并针对所发现的风险为您提供查看基线检查详情，帮助您正确地处理服务器内的各种风险配置信息。 约束限制 未开启防护不支持基线相关操作。 前提条件 配置检查只有开启了防护且防护配额在企业版及以上的主机数据才会显示在列表中。 检测周期 主机安全服务默认每日凌晨04：00左右将自动进行一次全面的检查。 若您需自定义检测周期及时间，您可购买旗舰版、网页防篡改版、容器版满足需求，自定义检测周期操作详情请参见配置检测。 在“风险预防 > 基线检查”页面右上角，选择目标基线策略，单击“手动检测”，可对基线策略关联的服务器进行一键手动检测。 检查详情 基线检查详情 检查项名称 检查详情说明 口令复杂度策略检测 检测系统中的口令复杂度策略，给出修改建议，帮助用户提升口令安全性。 经典弱口令检测 检测系统帐户口令是否属于常用的弱口令，针对弱口令提示用户修改。 配置检查 对常见的Tomcat配置、Nginx配置、SSH登录配置进行检查，帮助用户识别不安全的配置项。 操作步骤 1、登录管理控制台。 2、在页面左上角单击，选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在左侧导航树中，选择“风险预防 > 基线检查”，进入基线检查页面。 4、在“基线检查”页面，查看检测数据的统计，选择不同页签，查看HSS检测到的您服务器上存在的配置风险，参数说明如表所示。 基线检查概览 参数名称 参数说明 基线检查策略 选择要查看的基线策略检测的结果，所有可选择的基线检查策略均为已添加的基线检查策略，可进行自定义创建、编辑、删除。 检测主机数 已检测的主机总数。 检测基线数 检测主机时执行的基线数。 主机配置检查项 已检查主机配置项的总数。 主机配置基线通过率 按照基线检测主机配置通过的配置项占总检测项的占比，同时按照不同风险等级分别统计未通过的配置项总数。 主机配置风险TOP5 按照主机的维度统计存在配置风险的主机。 优先按照高危且风险总数最多的前5台主机进行排序，若不存在高危，则依次为中危、低危。 主机弱口令检测统计 统计检测弱口令的主机总数，以及有弱口令、未开启检测、无弱口令检测的主机数。 主机弱口令风险TOP5 按照主机的维度统计存在弱口令风险最多的前5台主机。 配置检查 对所有存在配置风险的主机进行等级告警及风险信息统计。 口令复杂度策略检测 对所有主机存在弱口令复杂度不满足基线标准的进行统计。 经典弱口令检测 按照主机的维度对存在弱口令的主机及涉及的帐号进行统计。 手动执行基线检查 手动检测只针对目标基线策略所关联的服务器。若使用默认策略，请先关联服务器后再执行手动检测。 执行手动检测前，请先确认在“基线检查策略”选框是否可以选择到目标策略，若需新建策略，详情请参见新建基线检查策略。 1、在“风险预防 > 基线检查”概览页选择目标“基线检查策略”。 选择目标基线策略 2、单击页面右上角“手动检测”，执行检测。 3、查看“基线检查策略”下方“最近检测时间”为当前检测时间时，表示检测完成。 执行手动检测后，按钮状态变为检测中，若检测时间超过30分钟，按钮会自动释放为可单击状态，此时仍需等待“最近检测时间”显示为当前检测时间才表示检测完成。 检测结束后可参照查看基线检查详情查看对应检查项结果及修改建议。 2、单击页面右上角“手动检测”，执行检测。 3、查看“基线检查策略”下方“最近检测时间”为当前检测时间时，表示检测完成。 执行手动检测后，按钮状态变为检测中，若检测时间超过30分钟，按钮会自动释放为可单击状态，此时仍需等待“最近检测时间”显示为当前检测时间才表示检测完成。 检测结束后可查看基线检查详情查看对应检查项结果及修改建议。 查看检测状态 导出基线检查报告 根据需要可通过筛选导出基线检测报告。 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 说明 切换至新版后，在总览页左上角单击“返回旧版”，可切换至主机安全（旧版）。 4、在左侧导航树中，选择“风险预防 > 基线检查”，进入基线检查页面。 5、在“基线检查”页面，查看检测数据的统计，选择不同页签，可查看HSS检测到的风险告警。 注意 当前仅支持“配置检查”和“经典弱口令检测”的报告导出。 6、选择“配置检查”或“经典弱口令检测”页签，在列表右上角单击 ，对筛选的风险告警进行下载。 说明 在“配置检查”页签可单击“风险等级”和“标准类型”对告警信息进行筛选。 在“经典弱口令检测”页签可通过筛选服务器名称、IP地址、帐号名称进行筛选下载。 “配置检查”和“经典弱口令检测”的风险检测报告单次下载最大数量为5000条。

本节介绍如何开启弹性负载均衡防护。 注意事项 一个弹性负载均衡防护消耗1个“可防护公网IP数” 配额。 约束限制 不支持防护“经典型”的负载均衡实例。 开启弹性负载均衡防护 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“防火墙开关 > 互联网边界防火墙开关”。 3. 在“弹性负载均衡”页签，选择IP版本后，找到需要开启防护的弹性负载均衡实例，单击操作列的“开启防护”。 系统会定期自动同步当前账号下的资产到该页面，若有弹性负载均衡资产未同步，可以在互联网边界防火墙开关页面右上角单击“同步资产”，手动同步资产。资产同步预计需要1~2分钟。 弹性负载均衡实例列表展示当前账号下已创建的弹性负载均衡实例。列表包括名称（实例名称）、状态、网络类型、服务地址（包括公网IP和内网IP）、虚拟私有云（VPC名称、VPC网段）、子网、IPv4带宽、防护状态。 4. 进入开启弹性负载均衡防护页面，完成相应配置。 1. 自动检查：单击“立即扫描”，待扫描完成后，单击“下一步”。 注意 若有未检查通过的项，请根据提示信息完成相应操作后，再执行下一步。 2. 创建终端节点。 配置引流子网后，单击“创建终端节点”。 注意 支持选择已有子网，也可以自定义子网。自定义子网的网段必须属于当前VPC的CIDR；创建后无法更改。 终端节点创建完成后，单击“下一步”。 3. 网络引流配置：确认基础信息后，单击“开始引流”。 4. 开启防护成功。

本小节介绍日志审计(原生版)应用场景,主要是响应合规性要求、日志审计监管、日志关联分析等场景。 场景一：响应合规场景 采用日志审计监测、记录和存储网络运行状态和安全事件等信息，实现对系统的全面监控和细致记录，配合多种审计策略，快速定位溯源，全面提升系统服务水平以及网络安全管理水平，满足网络安全法规及等级保护的相关要求。 产品优势能力 产品具备海量日志存储能力，并可以长时间地保存大量日志信息，同时采用了多种技术手段，实现高效地日志数据处理和存储，降低性能负担，确保用户在实现合规性的同时，仍能维持系统的服务水平。 通过深度分析安全设备的日志信息，可以及时检测潜在的安全威胁，并结合溯源分析追踪攻击者的行为路径和攻击手法，更好地了解攻击者的意图和方法，帮助快速发现并阻止潜在的攻击，减少安全事件造成的损失。 场景二：运维分析场景 针对中大型企业设备多，系统多，难以统一监管问题，采用日志审计将所有设备、用户行为日志统一监管，贯穿从边界到核心资产的全流程运维监控，以及扩展对关键数据等资产的保护。 产品优势能力 提供实时流的日志分析监控，通过邮件方式及时通知用户，提高运维的响应及时率。 仪表盘灵活查看不同设备的整体运行情况，通过定时任务，统计一天到一周、月、季度的业务数据运维情况。 借助统计报表掌握业务趋势，通过接口调用统计为扩容、性能问题排查提供参考信息。 场景三：审计分析场景 基于大数据架构的日志审计系统，针对各类系统的日志进行集中采集、管理、存储、统计，分析的系统，实现高效统一管理资产日志并提供实时检索，可视化交互分析，聚合分析，实时告警，报表等功能。

本节介绍如何开启告警通知。 通过对攻击日志进行通知设置，WAF可将仅记录和拦截的攻击日志通过用户设置的接收通知方式（例如邮件或短信）发送给用户。 前提条件 已开通消息通知服务。 约束条件 在设置时间间隔内，当攻击次数大于或等于您设置的阈值时才会发送告警通知。 操作步骤 1. 登录管理控制台。 2. 单击页面顶部的区域选择框，选择区域。 3. 单击页面左上角的“服务列表”，选择“安全 > Web应用防火墙（独享版）”。 4. 在左侧导航树中，选择“系统管理 > 告警通知”，进入“告警通知”页面。 5. 单击“添加通知”，配置告警通知参数。 参数 参数说明 通知类型 选择告警通知的类型： 防护事件：WAF可将仅记录和拦截的攻击日志通过用户设置的接收通知方式（例如邮件或短信）发送给用户。 通知名称 自定义该条告警的名称。 通知描述 可选参数，备注该条告警的用途。 企业项目 在下拉框中选择企业项目，该通知在选择的企业项目下生效。 通知群组 单击下拉列表选择已创建的主题或者单击“查看主题”创建新的主题，用于配置接收告警通知的终端。 告警频率 在设置时间间隔内，当攻击次数大于或等于您设置的阈值时才会发送告警通知。 事件类型 设置告警的事件类型，系统默认选择“全部”，用户也可以单击“自定义”，勾选需要告警的事件类型。 6. 配置完成后，单击“确认”，告警通知设置成功。 如果需要关闭该告警通知，在目标告警所在行的的“操作”列，单击“关闭”。 如果需要删除该告警通知，在目标告警所在行的的“操作”列，单击“删除”。 如果需要修改该告警通知，在目标告警所在行的的“操作”列，单击“修改”。

模块 功能说明 说明 应用场景 企业使用远程零信任办公服务，部分场景下，需要对访问的来源进行控制，远程零信任办公服务支持对客户端访问来源、访问IP、用户粒度、访问时间等进行访问控制，实现更灵活和安全的企业远程办公访问体验。 DDoS防护可有效防御畸形报文攻击、SYN Flood、ACK Flood、UDP Flood、ICMP Flood等网络层攻击以及SSL、DNS等应用层攻击 自动防御大流量网络层攻击 针对横向扫描的行为进行设定不同策略模版，如IP类横向渗透防护、域名类横向渗透防护，支持针对单用户账号，设备，相同公网IP进行不同协议、端口、地址的组合判断其频次，若高于异常则进行阻断或挑战认证。该功能是实时统计，达到阈值立即处置。 目前已维护6套防护规则集，基于正则的规则防护引擎进行 Web 漏洞和未知威胁防护，能够抵御SQL 注入、XSS 攻击、恶意扫描、命令注入攻击、Web 应用漏洞、WebShell 上传、不合规协议、木马后门等17类通用的 Web 攻击 建议基于自身业务防护需求选择对应的防护规则集 针对企业管理要求，通过不同维度设置准入条件，仅满足准入条件的用户才可通过认证登录成功，进入内网访问，保障其企业安全性。 希望网站防止被恶意篡改页面内容时配置 基于零信任多维度综合分析引擎，根据采集和上报的不同指标数据，对用户访问行为进行可信评估并实时联动处置。 希望网站避免泄露身份证、手机号等敏感信息时配置 内外网隔离指的是将内部网络（内网）与外部网络（外网）物理或逻辑上分开，以防止未经授权的访问和数据泄露。通过内外网隔离，企业组织可以显著提高其安全性，因为即使外网遭受攻击，攻击者也难以渗透到内网，从而保护了组织的核心资产和数据。零信任模型强调的是一种持续的、动态的安全策略，它要求组织不断地评估和改进其安全措施，以应对不断变化的威胁环境。 针对不在HTTP请求合规、上传内容合规、配置符合网站处理规范内的请求进行相应处理 RBI云端浏览器 RBI云端浏览器是基于零信任网络+远程浏览器隔离技术，以“不让数据流出去、不让坏数据流进来”为宗旨，通过隔离浏览环境进行数据隔离、运行隔离，限制员工行为，保障员工终端安全，敏感数据不落地，提供全流程的行为审计，保证恶意行为证据可追溯。

5.下载模型文件 将模型文件下载并保存在每个节点的/mnt/nvme1n1/model/ 目录下，这里以量化版DeepSeekR1bf16hfdw8a8模型举例： plaintext ls l /mnt/nvme1n1/model/DeepSeekR1bf16hfdw8a8/ total 658940180 rwxrx 1 root root 1791 Mar 19 15:46 config.json rwxrx 1 root root 10556 Mar 19 15:46 configurationdeepseek.py rwxrx 1 root root 15229 Mar 19 15:46 md5sum.txt rwxrx 1 root root 9923927 Mar 19 15:46 quantmodeldescriptionw8a8dynamic.json rwxrx 1 root root 4300743184 Mar 19 15:47 quantmodelweightw8a8dynamic00001of00157.safetensors ... rwxrx 1 root root 16470256 Mar 19 15:46 quantmodelweightw8a8dynamic.index.json rwxrx 1 root root 6038 Mar 19 15:46 README.md rwxrx 1 root root 3584 Mar 19 15:55 tokenizerconfig.json rwxrx 1 root root 7847602 Mar 19 15:55 tokenizer.json 注意 设置文件权限为750。 服务管理 1.服务配置 根据节点数量修改 srunclean.sh 和 srundeepseek.sh： plaintext !/bin/bash SBATCH N 2 ... 如果是4台，需修改N后面的数值为4。 根据具体使用的模型，修改node.sh 中的内容： plaintext export MODELDIR/mnt/nvme1n1/model/DeepSeekR1bf16hfdw8a8 export MINDIEIMGmindie2.0.T6.B023800IA2py3.11openeuler24.03ltsaarch64.sif 其中: MODELDIR 为模型在每个节点的本地盘中的具体路径（必须位置统一）。 MINDIEIMG为使用的MindIE容器。

本文帮助您了解对象存储批量删除桶内对象的最佳实践。 本文主要针对用户需要批量删除一个桶中的对象的场景，介绍几种批量删除的方法。 一、使用客户端工具批量删除 使用S3Browser批量删除桶中的对象 S3Browser工具是一款客户端工具，可在S3Browser官网下载，安装即可使用非商用版。使用方法可参考S3Browser网站相关文章。 S3Browser对象列表中选择多个对象删除 按住Ctrl 键，鼠标点击S3Browser对象列表中的对象，可以同时选中多个对象，点击对象列表下方【Delete】按钮，弹出确认对话框，点击【确认】按钮可同时删除多个对象。 S3Browser全选对象列表删除 点击S3Browser 菜单项中的【Files】项，再点击【Select All】项，可将对象列表中展示的对象（最多1000个）全部选中。 点击对象列表下方的【Delete】按钮，并点击【确认】后，可将对象列表中展示的对象全部删除。 二、使用SDK调用接口删除桶内对象 参考《开发者文档》，选择合适的SDK，适配环境后，调用接口，即可删除对象。 Python SDK 删除桶中对象 以Python SDK 为例，Python SDK的使用方法请参考《ZOS对象存储PythonSDK使用手册》，此处举例说明调用接口删除一个桶中的全部对象。 config.py Bucketname"testbk" AK"test" SK"test" URL" multipoolnum16 loglevel"debug" log.py

5.下载模型文件 将模型文件下载并保存在每个节点的/mnt/nvme1n1/model/ 目录下，这里以量化版DeepSeekR1bf16hfdw8a8模型举例： plaintext ls l /mnt/nvme1n1/model/DeepSeekR1bf16hfdw8a8/ total 658940180 rwxrx 1 root root 1791 Mar 19 15:46 config.json rwxrx 1 root root 10556 Mar 19 15:46 configurationdeepseek.py rwxrx 1 root root 15229 Mar 19 15:46 md5sum.txt rwxrx 1 root root 9923927 Mar 19 15:46 quantmodeldescriptionw8a8dynamic.json rwxrx 1 root root 4300743184 Mar 19 15:47 quantmodelweightw8a8dynamic00001of00157.safetensors ... rwxrx 1 root root 16470256 Mar 19 15:46 quantmodelweightw8a8dynamic.index.json rwxrx 1 root root 6038 Mar 19 15:46 README.md rwxrx 1 root root 3584 Mar 19 15:55 tokenizerconfig.json rwxrx 1 root root 7847602 Mar 19 15:55 tokenizer.json 注意 设置文件权限为750。 服务管理 1.服务配置 根据节点数量修改 srunclean.sh 和 srundeepseek.sh： plaintext !/bin/bash SBATCH N 2 ... 如果是4台，需修改N后面的数值为4。 根据具体使用的模型，修改node.sh 中的内容： plaintext export MODELDIR/mnt/nvme1n1/model/DeepSeekR1bf16hfdw8a8 export MINDIEIMGmindie2.0.T6.B023800IA2py3.11openeuler24.03ltsaarch64.sif 其中: MODELDIR 为模型在每个节点的本地盘中的具体路径（必须位置统一）。 MINDIEIMG为使用的MindIE容器。

本节介绍如何创建混合备份存储库。 操作场景 使用混合备份服务，首先需要创建存储库用于存储备份文件，存储库底层为对象存储服务，该对象存储前台不可见。 操作须知 存储库不同地域的资源之间内网不互通，各地域需单独创建。请选择靠近您客户的区域，也可以降低网络时延，提高访问速度。 操作步骤 1. 登录控制中心。 2. 在控制中心左上角选择地域，此处选择华东华东1。 3. 选择“存储>云备份”，进入云备份控制台。 4. 单击左侧“混合备份（存储版）”按钮，进入混合备份控制台，单击右上角“创建存储库”，在弹出页面配置如下内容： 参数 参数说明 参考取值 地域 需要在页面左上角切换地域。 不同区域的资源之间内网不互通，请选择靠近您的区域，也可以降低网络时延，提高访问速度。 华东1 付费方式 目前混合备份存储库仅支持包年包月。 包年包月是一种先付费后使用的计费模式，支持按年购买或续订存储库。 包年包月 存储库名称 自定义填写存储库名称，长度范围在 2 到 63 之间，只能由数字、字母、组成，不能以数字和开头、且不能以结尾。 test 存储库容量 根据需求选择存储库容量，取值范围为1TB1000 TB，可选择增减步长为1TB。 注意：当备份总容量超过存储库容量，备份将会失败，建议存储库容量大于待备份数据的大小。 10TB 创建时长 根据需求选择存储库使用时长，范围为15年。 1年 5. 配置完成后，单击“下一步”，确认配置，勾选云备份服务协议，单击“确认下单”，在支付界面完成支付。 6. 回到混合备份存储库界面，等待存储库的状态变为正常，即完成存储库的创建。

1.5 下载模型文件 将模型文件下载并保存在每个节点的/mnt/nvme1n1/model/ 目录下，这里以量化版DeepSeekR1bf16hfdw8a8模型举例： plaintext $ ls l /mnt/nvme1n1/model/DeepSeekR1bf16hfdw8a8/ total 658940180 rwxrx 1 root root 1791 Mar 19 15:46 config.json rwxrx 1 root root 10556 Mar 19 15:46 configurationdeepseek.py rwxrx 1 root root 15229 Mar 19 15:46 md5sum.txt rwxrx 1 root root 9923927 Mar 19 15:46 quantmodeldescriptionw8a8dynamic.json rwxrx 1 root root 4300743184 Mar 19 15:47 quantmodelweightw8a8dynamic00001of00157.safetensors ... rwxrx 1 root root 16470256 Mar 19 15:46 quantmodelweightw8a8dynamic.index.json rwxrx 1 root root 6038 Mar 19 15:46 README.md rwxrx 1 root root 3584 Mar 19 15:55 tokenizerconfig.json rwxrx 1 root root 7847602 Mar 19 15:55 tokenizer.json 注意 设置文件权限为750。 二、服务管理 2.1 服务配置 根据节点数量修改 srunclean.sh 和 srundeepseek.sh： plaintext !/bin/bash SBATCH N 2 ... 如果是4台，需修改N后面的数值为4。 根据具体使用的模型，修改node.sh 中的内容： plaintext export MODELDIR/mnt/nvme1n1/model/DeepSeekR1bf16hfdw8a8 export MINDIEIMGmindie2.0.T6.B023800IA2py3.11openeuler24.03ltsaarch64.sif 其中: MODELDIR 为模型在每个节点的本地盘中的具体路径（必须位置统一） MINDIEIMG为使用的MindIE容器

约束限制 目前云堡垒机系统只适配Tomcat的Java Keystore格式证书文件，即后缀为jks的证书文件。 上传的证书文件大小不超过20KB，且证书文件包含证书密码。 无证书密码将不能验证上传证书，SSL证书文件无法上传到系统。 操作步骤 1. 登录云堡垒机系统。 2. 选择“系统 > 系统配置 > 安全配置”，进入系统安全配置管理页面。 3. 在“Web证书配置”区域，单击“编辑”，弹出Web证书更新窗口。 4. 上传下载到本地的证书文件。 5. 证书文件上传成功后，输入keystore密码，证书密码验证文件。 6. 单击“确定”，返回安全配置管理页面，查看当前系统Web证书信息。 7. 证书信息更新后，为了使证书生效，需要重启堡垒机系统。 配置手机令牌类型 手机令牌可用来生成动态口令的手机客户端软件。云堡垒机系统支持通过绑定手机令牌，对用户登录进行多因子身份认证，用户配置“手机令牌”多因子认证后，需同时输入用户密码和6位手机令牌验证码，才能登录云堡垒机系统。 本小节主要介绍如何设置系统手机令牌类型。 约束限制 目前仅支持两种手机令牌类型： 内置手机令牌：微信小程序手机令牌。 RADIUS手机令牌：APP版手机令牌，包括Google Authenticator和FreeOTP。 系统手机令牌类型，需与实际绑定手机令牌类型一致。 前提条件 用户已获取“系统”模块管理权限。 操作步骤 1. 登录云堡垒机系统。 2. 选择“系统 > 系统配置 > 安全配置”，进入系统安全配置管理页面。 3. 在“手机令牌配置”区域，单击“编辑”，弹出手机令牌类型配置窗口。 4. 选择系统手机令牌类型。 5. 单击“确定”，返回安全配置管理页面，查看当前系统手机令牌类型。 配置USB Key厂商 本小节主要介绍如何配置系统USB Key厂商。

本文为您介绍如何Serverless集群中运行Job任务。 背景信息 在Serverless集群中，您可以按需按量创建Pod。当Pod结束后停止收费，无需为Job任务预留计算资源，从而摆脱集群计算力不足和扩容的烦扰，同时结合抢占式实例可以降低Job任务的计算成本。本文主要为您介绍如何通过SCE按需创建Job任务，来对圆周率Pi进行小数位的计算。 前提条件 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群 。 确保kubectl工具已经连接目标集群。 操作步骤 登录控制台创建Job 1. 登录云容器引擎控制台。 2. 在控制台的左侧导航栏中点击“集群”。 3. 在集群列表页面中，单击目标集群的名称进入集群详情界面。 4. 在集群管理页面的左侧导航栏中，选择“工作负载” ，然后单击“任务”。 5. 点击创建任务。 6. 点击创建工作负载后，可在Job列表查看Job。 使用命令行创建Job 1. 创建job.yaml文件，内容如下： shell apiVersion: batch/v1 kind: Job metadata: name: pi spec: template: spec: containers: name: pi image: user1registryhuadong1.crsinternal.ctyun.cn/library/perl command: ["perl", "Mbignumbpi", "wle", "print bpi(10)"] restartPolicy: Never backoffLimit: 4 2. 执行命令创建该任务。 plaintext kubectl apply f job.yaml 3. 查看Job与Pod的运行状态，可以看到已经运算成功。 shell kubectl get job pi NAME COMPLETIONS DURATION AGE pi 1/1 2m23s 9m21s kubectl get pod NAME READY STATUS RESTARTS AGE pib89fv 0/1 Completed 0 9m37s 4. 查看运算结果。 登录到弹性容器实例的控制台，进入到上面Pod对应的ECI实例中，查看日志，可以看到对圆周率的小数点后9位的运算结果。

本文介绍如何使用云硬盘动态存储卷。 使用云盘动态存储卷，即无需预先创建云硬盘和PV，只需创建PVC时指定存储类（StorageClass），存储插件cstorcsi就会自动创建云盘实例及对应PV资源。 该模式为推荐使用，您可以更关注工作负载本身的存储需求，无需预先手动创建和配置存储资源，降低底层基础设施的复杂性。 前提条件 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群。若已有Serverless集群，无需重复操作。 已在插件市场安装存储插件cstorcsi，且插件正常运行。 已在云硬盘控制台创建云盘。 确保kubectl工具已经连接目标集群。 使用云盘动态存储卷（kubectl） 步骤一：创建存储类（StorageClass） 安装cstorcsi存储插件后，默认会创建storcsidisksassc存储类，不需要创建。可执行以下命令查看存储类： shell kubectl get sc cstorcsidisksassc oyaml 步骤二：创建持久卷声明（PVC） 示例yaml文件pvcdisk.yaml： shell apiVersion: "v1" kind: "PersistentVolumeClaim" metadata: name: "testpvc" namespace: "default" spec: 访问模式 accessModes: "ReadWriteOnce" resources: requests: storage: "10Gi" storageClassName: "cstorcsidiskssdsc" 执行以下命令创建pvc： shell kubectl apply f pvcdisk.yaml

本章介绍本次性能测试结果情况。 以下结果为测试环境的测试数据，仅供参考，不作为SLA承诺。 表 测试列表 ::::::: 实例类型 Instance class CPU/Core Memory（GB） TPM TPS IOPS HA实例 2008 R2 企业版 2 8 300000 5500 4000 HA实例 2008 R2 企业版 4 16 530000 9700 7000 HA实例 2008 R2 企业版 8 32 930000 17050 15000 HA实例 2008 R2 企业版 16 64 1250000 23000 20000 HA实例 2008 R2 企业版 2 16 290000 5300 4000 HA实例 2008 R2 企业版 4 32 540000 9900 7000 HA实例 2008 R2 企业版 8 64 960000 17600 15000 HA实例 2008 R2 企业版 16 128 1350000 24750 20000 单实例 2014 企业版、2014 标准版 4 16 550000 10083 7000 单实例 2014 企业版、2014 标准版 8 32 1100000 20166 16000 单实例 2014 企业版、2014 标准版 16 64 1500000 27500 22000 HA实例 2014 企业版、2014 标准版 4 32 500000 9000 7000 HA实例 2014 企业版、2014 标准版 8 64 1000000 18333 16000 HA实例 2014 企业版、2014 标准版 16 128 1400000 24000 21000 单实例 2014 WEB 4 16 550000 10000 6000 单实例 2014 WEB 8 32 1100000 20000 12000 单实例 2014 WEB 16 64 1500000 27000 18000 表 测试列表 ::::::: 实例类型 Instance class CPU/Core Memory（GB） TPM TPS IOPS 单实例 2014 企业版、2014 标准版 4 16 550000 10083 7000 单实例 2014 企业版、2014 标准版 8 32 1100000 20166 16000 单实例 2014 企业版、2014 标准版 16 64 1500000 27500 22000 HA实例 2014 企业版、2014 标准版 4 32 500000 9000 7000 HA实例 2014 企业版、2014 标准版 8 64 1000000 18333 16000 HA实例 2014 企业版、2014 标准版 16 128 1400000 24000 21000 单实例 2014 WEB 4 16 550000 10000 6000 单实例 2014 WEB 8 32 1100000 20000 12000 单实例 2014 WEB 16 64 1500000 27000 18000

场景二：资源相互隔离，没有共享，造成资源浪费的场景 某公司下有两个部门，两个部门的不同作业运行在DLI的两个队列上。部门A在上午8点到12点业务比较空闲，资源有剩余，部门B在这个时间段业务请求量大，原有资源规格满足不了，需要扩容时，请求不了部门A的队列资源，造成资源浪费。 资源隔离造成的资源浪费 弹性资源池通过“分时按需弹性”功能，支持按照不同时间段对资源进行动态的扩缩容，保证资源的利用率和应对资源洪峰等诉求。 弹性资源池对后端资源统一进行管理和调度，多个队列绑定弹性资源池后，资源池内资源共享，资源利用率高，解决了场景二的问题。 弹性资源池架构和优势 弹性资源池后端采用CCE集群的架构，支持异构，对资源进行统一的管理和调度。 弹性资源池的优势主要体现在以下几个方面： 统一资源管理 −统一管理内部多集群和调度作业，规模可以到百万核级别。 −多AZ部署，支持跨AZ高可用。（暂未实现，后续版本支持） 租户资源隔离 不同队列之间资源隔离，减少队列之间的相互影响。 分时按需弹性 −秒级动态扩容，从容应对流量洪峰和资源诉求。 −支持分时设置队列优先级和配额，提高资源利用率。 作业级资源隔离（暂未实现，后续版本支持） 支持独立Spark实例运行SQL作业，减少作业间相互影响。 自动弹性（暂未实现，后续版本支持） 基于队列负载和优先级实时自动更新队列配额。 弹性资源池解决方案主要解决了以下问题和挑战。 维度 原有队列，无弹性资源池时 弹性资源池 ::: 扩容时长 手工扩容时间长，扩容时长在分钟级别 不需要手工干预，秒级动态扩容。 资源利用率 不同队列之间资源不能共享。 例如：队列1当前还剩余10CU资源，队列2当前负载高需要扩容时，队列2不能使用队列1中的资源，只能单独对队列1进行扩容。 添加到同一个弹性资源池的多个队列，CU资源可以共享，达到资源的合理利用。 资源利用率 配置跨源时，必须为每个队列分配不重合的网段，占用大量VPC网段。 多队列通过弹性资源池统一进行网段划分，减少跨源配置的复杂度。 资源调配 多个队列同时扩容时不能设置优先级，在资源不够时，会导致部分队列扩容申请失败。 您可以根据当前业务波峰和波谷时间段，设置各队列在弹性资源池中的优先级，保证资源的合理调配。 弹性资源池主要包括如下基本操作： 创建弹性资源池 弹性资源池权限管理 弹性资源池添加队列 弹性资源池关联队列 弹性资源池队列管理 弹性资源池CU设置

本节主要介绍Linux客户端挂载HBlock集群版的卷。 前置条件 HBlock服务器端，已经成功创建卷。 准备Linux客户端 1. 安装 Linux 客户端 注意 需要具有root权限才能配置initiator。 若您客户端为 CentOS/RHEL， 请安装iscsiinitiatorutils，安装命令如下： plaintext yum y install iscsiinitiatorutils 注意 请安装iSCSI initiator 6.2.087410 或以上版本。 若您客户端为Ubuntu/Debian，安装命令如下： plaintext apt install openiscsi 2. 安装 MPIO 对于CentOS plaintext yum install devicemappermultipath devicemappermultipathlibs 对于Ubuntu plaintext apt install multipathtools 3. 配置 MPIO 1. 复制/usr/share/doc/devicemappermultipath X.Y.Z /multipath.conf （其中X.Y.Z 为multipath的实际版本号）到/etc/multipath.conf。 2. 在/etc/multipath.conf中增加如下配置： 注意 配置文件multipath.conf中，如果multipath部分与devices部分中有相同参数，multipath中的参数值会覆盖devices中的参数值。为了正常使用HBlock卷，需要删除multipath中的与下列字段相同的参数。 plaintext defaults { userfriendlynames yes findmultipaths yes uidattribute "IDWWN" } devices { device { vendor "CTYUN" product "iSCSI LUN Device" pathgroupingpolicy failover pathchecker tur pathselector "roundrobin 0" hardwarehandler "1 alua" rrweight priorities nopathretry queue prio alua } } 说明 userfriendlynames可以设置为yes，也可以设置为no。 userfriendlynames yes：系统会使用文件/etc/multipath/bindings中的设置为多路径设备分配别名，格式为mpathn（例如mpatha、mpathb等）。 userfriendlynames no：系统会使用 WWID （全球唯一标识符）作为多路径设备的别名。 4. 重启multipathd服务 对于CentOS plaintext systemctl restart multipathd systemctl enable multipathd 对于Ubuntu plaintext systemctl restart multipathtools.service systemctl enable multipathtools.service

命令组后续操作 修改命令组：选择需要修改的命令组，单击“操作”列中“编辑”，按照需求进行命令组数据的修改，单击“提交”完成命令组数据更新。 删除命令组：选择需要删除的命令组，单击“操作”列中“删除”，在弹出的对话框中单击“确定”即可删除命令组。 注意 删除后的命令组不可恢复。 若命令组已绑定命令授权规则，删除命令组会导致绑定的命令授权规则失效，请谨慎操作。 新增命令授权规则 1. 使用“管理角色”账户登录云堡垒机（原生版）控制台。 2. 在左侧导航栏选择“授权管理 > 字符命令授权”，进入“命令授权”页面。 3. 单击“新增”，开始新增字符命令授权。 参数 参数说明 授权规则名称 自定义资产访问授权的规则名称。 启用状态 选择该授权规则的启用状态，默认启用。 登录名 （可选）选择需要配置访问授权的用户。 用户组 （可选）选择需要配置访问授权的用户组。 若您选择的用户和用户组存在重合，默认取最大的合集。 资产 （可选）选择需要配置访问授权的资产。 资产组 （可选）选择需要配置访问授权的资产组。 若您选择的资产和资产组存在重合，默认取最大的合集。 资产账号 选择命令授权规则生效的资产账号，添加资产账号请参见：资产账号章节。 敏感命令 选择需要进行控制的命令组，并填写优先级，优先级范围：1~100，数字越小优先级越高。 授权时间 填写该授权的有效期。审批通过后，在有效期内可多次执行符合该规则的命令。 说明 配置时至少需要关联至少一个授权对象，否则这条命令策略不起作用，其余未关联的表示对所有生效。 以基础设施访问授权时，账号必须拥有该基础设施访问授权的访问权限策略才会生效。

本文介绍如何开启全量日志。 启用WAF全量日志功能后，您可以将攻击日志、访问日志记录到云日志服务（Log Tank Service，简称LTS）中，通过LTS记录的WAF日志数据，快速高效地进行实时决策分析、设备运维管理以及业务趋势分析。 LTS对于采集的日志数据，通过海量日志数据的分析与处理，可以为您提供一个实时、高效、安全的日志处理能力。LTS默认存储日志的时间为7天，存储时间可以在1～30天之间进行设置，超出存储时间的日志数据将会被自动删除，对于需要长期存储的日志数据（日志持久化），LTS提供转储功能，可以将日志转储至对象存储服务（OBS）或者数据接入服务（DIS）中长期保存。 前提条件 已申请WAF。 已添加防护网站。 系统影响 开启全量日志功能是将WAF日志记录到LTS，不影响WAF性能。 将防护日志配置到LTS 1. 登录管理控制台。 2. 单击页面顶部的区域选择框，选择区域。 3. 单击页面左上角的“服务列表”，选择“安全> Web应用防火墙（独享版）”。 4. 在左侧导航栏，选择“防护事件”，进入“防护事件”页面。 5. 选择“全量日志”页签，开启全量日志，并选择日志组和日志流。 配置全量日志： 全量日志配置参数： 参数 参数说明 取值样例 选择日志组 选择已创建的日志组。 ltsgroupwaf 记录攻击日志 选择已创建的日志流。 攻击日志记录每一个攻击告警信息，包括攻击事件类型、防护动作、攻击源IP等信息。 ltstopicwafattack 记录访问日志 选择已创建的日志流。 访问日志记录每一个HTTP访问的关键信息，包括访问时间、访问客户端IP、访问资源URL等信息。 ltstopicwafaccess 6. 单击“确定”，全量日志配置成功。您可以在LTS管理控制台查看WAF的防护日志。

本节介绍了如何进行域名归属权校验。域名归属权校验是将域名接入DDoS高防（边缘云版）的必要操作。在控制台进行域名基本配置之后，会弹出域名归属权校验框，需根据其中返回内容完成以下步骤。 客户可根据如下方法一、方法二，任意选择一种方式进行操作验证即可。 方法一：DNS解析验证 示例为ctcdn.cn的解析配置 1. 客户需在自己的域名解析服务商，添加天翼云控制台返回的TXT记录值（如下记录值仅为示例）。 记录类型 主机记录 记录值 TXT dnsverify 202207060000002jar4fb2hc79iwjq5cdid87t7rci1sgp33exuyvez4kwonobxt 2. 域名解析操作完成后，等待（建议10分钟）DNS解析生效后即可进行解析验证。 解析命令：dig dnsverify.ctcdn.cn txt 3. 如解析出来的txt值和天翼云控制台返回的TXT记录值一致，则表示配置正确。确认配置正确后，可前往天翼云控制台，在新增域名界面点击验证，验证通过就可以正常操作新增域名。 方法二：文件验证 示例为ctcdn.cn的解析配置 1. 在您的源站根目录下，创建文件名为：dnsverify.txt的文件，文件内容为天翼云控制台返回的TXT记录值（如下记录值仅为示例）。 2. 文件在源站根目录下创建完成后，即可进行访问验证（示例为访问 ）。 windows验证： linux验证： 3. 如访问展示的文件内容和天翼云控制台返回的TXT记录值一致，则表示配置正确。确认配置正确后，可前往天翼云控制台，在新增域名界面点击验证，验证通过就可以正常操作新增域名。

本文介绍Web应用防火墙（边缘云版）在CC攻击常见场景推荐的防护策略和配置。 CC攻击是一种恶意网络攻击，旨在通过向目标服务器发送大量的请求，超过其处理能力，从而使其无法正常工作或服务受到严重影响。以下是一些常见的CC攻击场景及WAF在不同场景下提供的具体防护策略和配置。 场景1：高频海量的虚假请求耗尽服务器资源 攻击者利用大量的虚假请求，不断向目标网站发送超过正常用户请求频率的请求，导致目标网站无法正常服务，这个最常见的一种CC攻击场景。您可以关注您的网站请求数趋势，如果请求QPS在某一时刻突然异常突增很多(比正常业务QPS突增超过10倍)，就很有可能是受到了CC攻击。 针对超过正常请求频率的攻击，最直接有效的防护方式就是配置频率控制，通过限制指定URL的访问频率，拦截超过网站正常业务请求频率的攻击。如：配置登录接口的单IP访问频率达到每分钟50次时则进行拦截，具体配置操作请参考：设置客户端IP访问域名首页次数限制。 除此之外，您还可以通过开启CC防护功能对CC攻击进行防护，设置URL达到指定阈值后则进行挑战，通过CC防护策略来校验请求是否来自于真实浏览器（注意：该功能不适用于不能执行JS的环境，如API、Native App、Websocket等） 配置示例：以下配置在阈值请求达到每5秒5000次时，则会开启CC攻击防护。更多CC防护配置请参考：设置CC防护配置。

本章节介绍数据库安全欠费说明 欠费说明 对于包年/包月DBSS资源，用户已经预先支付了资源费用，因此在帐户出现欠费的情况下，已有的包年/包月DBSS资源仍可正常使用。然而，对于涉及费用的操作，如新购DBSS、升级DBSS规格、续费订单等，用户将无法正常进行。 说明 天翼云根据客户等级定义了不同客户的宽限时间和保留时长。 欠费后需要及时充值，您可以在管理中心>费用中心中点击“充值”按钮进行续费，并且可以设置“可用额度预警”功能，当可用额度、通用代金券和现金券的总额度低于预警阈值时，系统自动发送短信和邮件提醒。