本章节介绍云容器集群节点网络包重复故障演练。 背景介绍 在云容器引擎（CCE）集群中，因配置错误、网络插件异常或协议缺陷，可能导致数据包被复制并多次送达目标节点。虽然 TCP 协议能够识别并丢弃重复的数据包，但这个过程会消耗额外的网络带宽和CPU资源。更严重的是，对于应用层协议，如果缺乏幂等性设计，重复的请求可能导致业务逻辑被错误地执行多次（如重复下单、重复扣款）。本演练模拟此场景，帮助您检验系统的处理能力和业务逻辑的幂等性。 基本原理 通过增加TC和Netem规则模拟Node内网络包重复。 注意 只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的节点列表。 5. 在弹出的对话框中，单击添加节点。 6. 勾选您希望进行故障演练的一个或多个节点 ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。

本文主要介绍定位请求异常原因 背景信息 在外部请求激增、负载突变等场景下，极易出现应用性能问题，比如外部请求响应变慢、部分请求异常等。快速识别发现、定位处理应用性能问题成为越来越常见的日常运维场景。 APM作为云应用性能问题诊断服务，拥有强大的分析工具，通过拓扑图、调用链可视化地展现应用状态、调用过程、用户对应用的各种操作，快速定位问题和改善性能瓶颈。 例如，通过APM拓扑功能可视化服务间的调用关系，迅速找到有问题的实例；通过APM调用链功能下钻到服务内部，根据出现问题的方法调用链路，确认问题根因。 适用场景 应用日常巡检，监控应用时延、吞吐量、错误数等性能指标。 应用异常调用快速定位。 操作步骤 步骤 1 登录应用性能管理控制台。 步骤 2 在左侧导航栏选择“应用监控 > 指标”。 步骤 3 选择“接口调用”页签，进入监控页面，查看接口调用页面中各类指标，调用次数、错误次数、时延等信息。 图 查看接口调用 步骤 4 单击出现问题的url请求，进入调用链搜索界面。 图 接口详情 步骤 5 在调用链搜索界面，查看失败/高时延调用链。 图 查看调用链 步骤 6 单击url，获取调用链详细信息，确定问题根因。 图 调用链详情

本节主要介绍LevelDB到GeminiDB Redis的迁移方案。 LevelDB是一个开源的持久化KV单机数据库引擎，具有很高的随机写，顺序读/写性能，适合应用在写多读少的场景。其内部没有设计成C/S网络结构，使用时必须和服务部署在同一台服务器，对于服务的部署、使用有较大的限制。相比于在LevelDB基础上开发的RocksDB, LevelDB存在较多缺点，如无法很好的使用多核服务器的计算性能，无法支撑TB级数据存储，不支持从HDFS读取数据等。 GeminiDB Redis采用RocksDB作为存储引擎，兼容Redis协议，具有丰富的数据类型，可以满足LevelDB的使用需求。同时GeminiDB Redis对RocksDB进行深度定制，实现秒级分裂弹性扩容，扩缩容无需搬迁数据，快速而平滑，为LevelDB业务转到Redis生态提供了便利。 迁移原理 使用自研迁移工具leveldbport，和LevelDB部署在相同机器上，准备好配置文件，启动迁移即可自动完成全量与增量的迁移。 全量迁移对LevelDB数据进行快照，然后扫描整个数据库，将数据打包成GeminiDB Redis识别的格式，发送到GeminiDB Redis ，具有很高的迁移效率。 增量迁移解析LevelDB的wal文件，将LevelDB的操作解析出来，然后对其中的key进行分片，多线程进行发送。 使用须知 迁移工具需要部署在源端，对性能有一定消耗，可通过修改配置文件进行一定的控制。 迁移过程读取LevelDB的源数据文件，只读操作，理论上不会有数据受损风险。 迁移过程不需要停服。 若迁移过程出现故障，需要清理GeminiDB Redis实例，重新启动迁移。

数据库实例连接 考虑使用连接池技术，以更好地管理数据库连接，避免频繁打开和关闭连接。 根据业务的场景，合理配置连接相关的参数。 根据实例规格及使用场景，配置合理的最大活跃连接数。 长连接可能会占用较大的内存空间，导致内存不足，配置合理的长连接上限。 业务层面需要管理短连接的资源回收。 数据库实例的可靠性和可用性 如果业务数据具有较高的安全风险，建议尽量选择主备类型。 如果读业务流量较大，建议创建只读实例来分摊流量，并开启读写分离。 谨慎进行规格变更，可能会进行实例重启，建议在业务低峰期执行变更。 在业务上线前，对使用场景进行评估，选择合适的规格和磁盘大小。 主实例扩容时，不会自动扩容其下的只读实例，请用户立即对只读实例进行相应的扩容操作，避免只读实例业务异常。 数据库实例的备份恢复 尽量不要在业务高峰期执行备份，可以在业务低峰期间进行手动备份。 建议在合理的时间段配置自动备份策略。 对于DDL、DML操作较多的实例，建议备份策略设置成每天执行一次。 建议根据业务需要设置备份保留天数。 数据库实例的SQL审计 开启SQL审计可能会影响实例性能，请尽量不要在业务高峰期开启。 数据库实例的日常运维 建议定期关注CPU、内存、磁盘和网络状态，提前识别业务问题。 建议定期关注数据库的资源使用情况，资源不足时，及时扩容。 建议关注实例监控信息，发现监控指标异常时，及时处理。 删除和修改记录时，需要先执行SELECT，确认无误才能提交执行。

本文介绍全站加速相关术语解释。 CNAME记录 CNAME ( Canonical Name )，即别名，用于把一个域名解析到另一个域名，当DNS系统在查询CNAME左面的名称的时候，都会转向CNAME右面的名称再进行查询，一直追踪到最后的PTR或A名称，成功查询后才会做出回应，否则失败。例如，您有一台服务器，使用docs.ctyun.cn访问，您又希望通过documents.ctyun.cn也能访问该服务器，那么就需要在您的DNS解析服务商添加一条CNAME记录，将documents.ctyun.cn指向docs.ctyun.cn，添加该条CNAME记录后，所有访问documents.ctyun.cn的请求都会被转到docs.ctyun.cn，获得相同的内容。 CNAME域名 接入全站加速时，在天翼云控制台添加完加速域名后，您会得到一个天翼云给您分配的CNAME域名， 您需要在您的DNS解析服务商添加CNAME记录，将自己的加速域名指向这个CNAME域名，这样该域名所有的请求才会指向天翼云全站加速的节点，达到加速效果。 DNS DNS即Domain Name System，是域名解析服务的意思。它在互联网的作用是：把域名转换成为网络可以识别的ip地址。人们习惯记忆域名，但机器间互相只认IP地址，域名与IP地址之间是一一对应的，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，整个过程是自动进行的。比如：上网时输入的www.ctyun.cn会自动转换成为220.181.112.143。 常见的DNS解析服务商有：阿里云解析，万网解析，DNSPod，新网解析，Route53（AWS），Dyn，Cloudflare等。

前提条件 Everest插件版本要求1.2.8及以上版本。 插件主要负责将挂载参数识别并传递给底层存储，指定参数有否有效依赖于底层存储是否支持。 约束与限制 挂载参数暂不支持安全容器。 在PV中设置挂载参数 在PV中设置挂载参数可以通过mountOptions字段实现，如下所示，mountOptions支持挂载的字段请参见文件存储挂载参数和对象存储挂载参数。 apiVersion: v1 kind: PersistentVolume metadata: name: pvobsexample annotations: pv.kubernetes.io/provisionedby: everestcsiprovisioner spec: mountOptions:umask0027uid10000gid10000 accessModes:ReadWriteMany capacity: storage: 1Gi claimRef: apiVersion: v1 kind: PersistentVolumeClaim name: pvcobsexample namespace: default csi: driver: obs.csi.everest.io fsType: obsfs volumeAttributes: everest.io/obsvolumetype: STANDARD everest.io/region: cnnorth4 storage.kubernetes.io/csiProvisionerIdentity: everestcsiprovisioner volumeHandle: obsnormalstaticpv persistentVolumeReclaimPolicy: Delete storageClassName: csiobs PV创建后，可以创建PVC关联PV，然后在工作负载的容器中挂载。 在StorageClass中设置挂载参数 在StorageClass中设置挂载参数同样可以通过mountOptions字段实现，如下所示，mountOptions支持挂载的字段请参见文件存储挂载参数和对象存储挂载参数。 apiVersion: storage.k8s.io/v1 kind: StorageClass metadata: name: csiobsmountoption mountOptions:umask0027uid10000gid10000 parameters: csi.storage.k8s.io/csidrivername: obs.csi.everest.io csi.storage.k8s.io/fstype: s3fs everest.io/obsvolumetype: STANDARD provisioner: everestcsiprovisioner reclaimPolicy: Delete volumeBindingMode: Immediate StorageClass设置好后，就可以使用这个StorageClass创建PVC，从而动态创建出的PV会默认带有StorageClass中设置挂载参数。

本节主要介绍如何使用API删除Pushgateway监控配置。 此操作用来删除Pushgateway监控配置。 注意 如果删除了“指标必须具备的label”，可能会造成相关监控数据无法识别的风险。 请求语法 plaintext DELETE /rest/v1/system/config/monitor?serverIdserverid1,serverid2,serveridN HTTP/1.1 Date: date ContentType: application/json; charsetutf8 ContentLength: length Host: ip:port Authorization: authorization { "pushgateway":address:port, "pushgatewayLabels": [ "key1", "key2", "key3", ... ] "collectMetric": name, "collectMetricItems": [ "item1", "item2", "item3", ... ], } 请求参数 参数 类型 描述 是否必须 serverId String 指定要删除Pushgateway监控配置的HBlock服务器ID。一次可以指定多个HBlock服务器的ID，以英文逗号（,）分开。如果不填写，默认为所有HBlock服务器删除指定的Pushgateway监控配置。 否 pushgateway String 指定Pushgateway的地址和接口。 取值：格式为IPv4 :port 、[IPv6 ]:port 或者domainname :port。 是 pushgatewayLabels Array of pushgatewayLabel 指定Pushgateway对应的标签值。 取值：label项。 否 collectMetric String 指定采集的监控指标。 取值为：server、fileSystem、interface、load、disk、tcp、os。 默认删除的上述所有监控指标。 否 collectMetricItems Array of collectMetricItem 指定监控指标下的配置项。 否 请求示例1 为服务器hblock1、hblock2删除相关的Pushgateway监控配置：标签为agent、idc，监控指标为disk，监控指标配置项为pstore、devpts。 plaintext DELETE /rest/v1/system/config/monitor?serverIdhblock1,hblock2 HTTP/1.1 Date: Fri, Fri, 24 May 2024 07:01:39 GMT ContentType: application/json; charsetutf8 Authorization: HBlock userName:signature ContentLength: 216 Host: 192.168.0.110:1443 { "pushgateway": "192.168.0.1:9091", "pushgatewayLabels": [ "agent", "idc" ], "collectMetric": "disk", "collectMetricItems": [ "pstore", "devpts" ] }

状态码 状态码含义 可能原因 400 错误请求 客户端发送的请求格式不符合HTTP规范。 请求的语法可能存在错误。 无效的参数或参数不完整 401 未授权 HTTP40错误代表用户没有访问权限,需要进行身份认证。 403 禁止访问 一般是后端主机返回，后端主机拦截了该请求。 404 资源未找到 后端主机返回错误码，需排查后端主机业务。 ELB转发策略配置不正确，未指定到正确的后端主机。 408 请求超时 当客户端向主机发送请求后，主机在规定的时间内没有响应 413 请求实体过大 当因请求的实体过大,超出主机的处理能力,导致主机无法处理请求时就会返回此错误代码。 414 URI太长 客户端发送的请求URL或查询字符串参数过大。 499 客户端主动断开连接 ELB还未将响应信息返回给客户端，客户端主动断开连接。此错误码仅记录在访问日志中。 500 主机内部错误 后端主机返回，为主机内部错误。 501 未实现 ELB服务无法识别此请求。 502 错误的网关 ELB未正确配置后端主机的监听通信端口。 ELB在尝试建立连接或向后端服务发送数据时从后端主机收到了TCP RST。 后端主机响应格式错误，或者包含无效的HTTP响应头。Ÿ 未正确配置后端主机，例如未正确配置路由、网络ACL等。 503 服务不可用 一般是后端主机返回，表示后端服务不可用。 504 网关超时 负载均衡设备或代理服务器无法在设定的超时时间内将请求转发到可用的上游服务器而引起的。

本小节介绍态势感知的术语解释。 API API（Application Programming Interface，应用程序编程接口）是一些预先定义的函数，应用将自身的服务能力封装成API，并通过API网关开放给用户调用。API包括基本信息、前后端的请求路径和参数以及请求相关协议。 安全态势评分 以漏洞CVSS分为基础的，是系统基于当前单位的资产情况、漏洞情况、威胁情况量化出来的一个分值。分值越高，表示系统安全系数越高。 CVSS 通用安全弱点评估系统（Common Vulnerability Scoring System，CVSS）用于评估安全漏洞的严重性。 DDoS 分布式拒绝服务（Distributed Denial of Service，DDoS）指借助于客户机或服务器模式，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力。 DPI流量解析 基于应用层的流量检测和控制技术，对流量进行拆包，分析包头和应用层的内容，从而识别应用程序和应用程序的内容。 恶意软件 在计算机系统上执行恶意任务的病毒、蠕虫和特洛伊木马的程序，通过破坏软件进程来实施控制。 横向移动 攻击者成功攻击一台计算机后，由该计算机横向跨越到另一台计算机，获取相关权限，进而窃取敏感信息的活动 。 漏洞 漏洞是指在操作系统实现或安全策略上存在的缺陷，例如操作系统软件或应用软件在逻辑设计上存在的缺陷或在编写时产生的错误。攻击者可以对这类缺陷或错误进行利用，从而能够在未获得授权的情况下访问和窃取您的系统数据或破坏系统。系统漏洞需要系统管理员及时处理并修复，否则将带来严重的安全隐患。

天翼云控制台配置 1. 登录云等保专区控制台。 2. 在左侧导航栏，选择“下一代防火墙”，查看下一代防火墙所在VPC。 3. 在防火墙同VPC内新建子网。新建子网详细操作请参见创建子网。 说明 单台防火墙需要新增至少3张网卡，一张trust、一张untrust、一张dmz的VRRP心跳口专用网卡。 结合初始创建防火墙时自带的主网卡作为M口管理，单台设备共计需要4张网卡。 4. 为防火墙设备绑定网卡。 说明 防火墙云主机绑定网卡时所选子网先后顺序需保持一致，为云主机绑定网卡详细操作请参见 若绑定网卡时遇到问题，可联系天翼云工作人员。 5. 申请虚拟IP地址并绑定至防火墙设备的网卡。 说明 请按照以下步骤申请并绑定虚拟IP： 1. 共需根据防火墙子网所在网段购买三个虚拟IP，基于步骤3所创建的三个子网进行申请虚拟地址。申请虚拟IP详细操作请参见 2. 将申请的虚拟地址绑定至新建的弹性网卡，详细操作请参见 3. 将新建的网卡两两绑定至虚拟IP。 4. 绑定完成后，需重启两台添加了网卡的防火墙云主机，让设备重新识别网卡。 若绑定虚拟IP时遇到问题，可联系天翼云工作人员协助处理。

本文描述云防火墙（原生版）用户身份认证与访问控制介绍 用户身份、角色、策略说明 用户在天翼云注册后自动创建主用户，该用户对其所拥有的资源具有完全的访问权限，拥有重置用户密码、分配用户等权限。若需多人共同使用天翼云资源，为确保账号安全，建议创建子用户来进行日常管理工作。子用户是由拥有IAM权限的用户在用户管理中心创建，创建初期是没有任何权限，需要先创建用户组授予相应的策略并把创建的用户加到用户组，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 根据授权分为角色、委托和策略。 角色：权限控制针对所有天翼云用户，IAM需要识别访问者的角色身份并赋予相应的委托权限策略。 委托：包括用户和用户之间的委托等操作用户的资源属于委托的范畴。 策略：是描述一组权限集的语言，它可以精确地描述被授权的资源集和操作集，通过策略，用户可以自由搭配需要授予的权限集。通过给用户组授予策略，用户组中的用户就能获得策略中定义的权限。 云防火墙的身份认证与访问控制 天翼云云防火墙（原生版）已经对接了统一身份认证服务（Identity and Access Management，IAM）服务。通过IAM的权限定义可实现对云资源权限的访问控制。 通过IAM，可以将用户加入到一个用户组中，并用策略来控制他们对云资源的访问范围，也可以将用户加入到企业项目中，为用户赋予企业项目的权限。

本文介绍数据库时间与北京时间相差几小时该如何解决。 问题现象 用户通过MySQL JDBC客户端连接DRDS实例执行SELECT查询，发现表中字段类型为timestamp的字段返回的时间与北京时间相差几个小时，比较常见的包括8小时、13小时、14小时等（124小时都可能）。 排查方法 查看DRDS的MySQL实例的时区配置，比如show global variables like '%timezone%'，确认MySQL当前的时区配置。 查看当前JDBC客户端的连接参数，是否设置severTimezone参数。 对比MySQL和JDBC客户端的时区配置是否合理。 原因分析 本质原因是：MySQL实例的时区和JDBC客户端的时区设置的不一样，导致出现误差。 如数据库时间与北京时间相差8小时，可能是MySQL的systemtimezone参数为UTC，timezone为SYSTEM，而北京时间为UTC+8:00，比UTC快8小时，因此可能看到差8个小时。此时，可以修改MySQL实例的timezone参数为Asia/Shanghai，或者在JDBC驱动中设置severTimezone参数为Asia/Shanghai。 如数据库时间与北京时间相差13或14小时，可能是MySQL的systemtimezone参数为CST，timezone为SYSTEM，JDBC 连接到 MySQL 把 CST 时区识别成了美国中部标准时间（UTC6:00，即比UTC慢8小时，夏令时为UTC5:00），而北京时间比UTC快8小时，因此可能看到差14个小时（夏令时为13小时）。 同理，发现时差为其他情况的（124小时皆有可能），本质也是时区设置问题。 解决方法 修改MySQL实例的时区配置，或者在MySQL JDBC驱动连接参数中主动配置severTimezone参数，确保客户端和MySQL实例时区一致。

功能模板 相关文档 支持添加泛域名 非80、443标准端口防护 批量灵活配置防护策略 常见的Web应用攻击防护，包括XSS攻击、SQL注入、爬虫检测等 云端自动更新最新0Day漏洞防护规则，及时下发0Day漏洞虚拟补丁 Webshell检测 CC攻击防护 精准访问防护 引用表管理 IP黑白名单设置 支持对指定国家、省份的IP自定义访问控制 网页防篡改 基于人机识别和数据风控的动态反爬虫 防敏感信息泄露 误报屏蔽 隐私屏蔽

MySQL实例删除后，备份是否会保留 天翼云关系数据库MySQL版提供两种存储备份数据的方式：云硬盘方式和对象存储服务方式，两种方式备份的保留策略不同。 云硬盘方式 关系数据库MySQL版到期冻结后，备份会保留15天。15天后备份将会被清除。在此期间，可以利用备份文件进行恢复。 对象存储服务方式 关关系数据库MySQL版到期冻结后，备份会保留15天。15天后备份将会被清除。在此期间，可以下载备份文件或选择备份文件进行恢复。 如何找回误删除数据库和数据表 对于关系数据库MySQL版，您可以利用备份恢复功能来还原误删除的数据。通过使用已有备份文件，您可以进行实例的覆盖性恢复操作，将数据库恢复到之前的状态。具体的操作方法可以参考实例覆盖性恢复。 为什么自动备份会失败 网络稳定性不足，如网络延时、中断，系统会在下一个备份时间点自动进行备份，您也可以及时进行一次手动备份。 系统多任务执行，如任务等待、中止，系统会在下一个备份时间点自动进行备份，您也可以及时进行一次手动备份。 实例状态异常，如实例故障、状态变更中，系统会识别并在状态恢复正常后再次执行备份，您也可以及时进行一次手动备份。 数据库中表的数量会影响备份速度，表数量超过50万，备份将会失败。 参数修改异常，如修改参数并关联实例后导致实例故障，您可以对比参数修改前后的值是否正确、修改的参数是否存在关联参数需要一并修改、或者尝试恢复默认参数重启实例。 如果以上操作仍无法解决问题，请联系客服人员处理。

数据治理是组织和管理数据资源的过程，旨在确保数据的质量、安全性、可靠性、可访问性和合规性，以支持企业决策和运营需求。TeleDB目前只支持对数据倾斜和冷热数据分级存储两种场景提供有效的数据治理方案，并将之集成到数据库内核中。 数据倾斜方案 数据倾斜‌是指在分布式数据库中，数据分布不均匀的现象。具体是指当大量的相同key被分配到同一个分区或节点进行处理时，就会导致该节点承载过多的数据或计算负载，而其他节点则相对空闲的现象。例如在大商户中每天的数据量和一个小商户的数据量相差较大，大商户一个月的数据可能就会把一个DN的空间塞满，这时无论用户使用hash分布表还是shard表，同一个商户的数据都只会落到一个数据节点，从而导致该系统无法存储更多的数据而停机。 为了有效的应对这个问题，TeleDB团队设计了数据重平衡（RDA算子模块）来解决数据倾斜问题： 首先我们把系统的DN分为group，每个group里面： 包含一个或者多个DN。 每个group有一个shardmap。 在建sharded表时，可以指定存储的group，也就是可以指定存储在group1或group2。 CN可以访问所有的group，而且CN上也存储所有表的访问方式信息。 对于系统中数据量较大用户进行特别的识别，并为他们创建白名单。不同的用户使用不同的数据分布逻辑，具体如下图所示： 普通用户使用默认的数据分布逻辑，即：Shardid Hash(merchantid) %

本文介绍应用加速术语解释。 CNAME记录 CNAME ( Canonical Name )，即别名，用于把一个域名解析到另一个域名，当DNS系统在查询CNAME左面的名称的时候，都会转向CNAME右面的名称再进行查询，一直追踪到最后的PTR或A名称，成功查询后才会做出回应，否则失败。例如，您有一台服务器，使用docs.ctyun.cn访问，您又希望通过documents.ctyun.cn也能访问该服务器，那么就需要在您的DNS解析服务商添加一条CNAME记录，将documents.ctyun.cn指向docs.ctyun.cn，添加该条CNAME记录后，所有访问documents.ctyun.cn的请求都会被转到docs.ctyun.cn，获得相同的内容。 CNAME域名 接入应用加速时，在天翼云控制台添加完加速域名后，您会得到一个天翼云应用加速给您分配的CNAME域名， 您需要在您的DNS解析服务商添加CNAME记录，将自己的加速域名指向这个CNAME域名，这样该域名所有的请求才会都将转向天翼云应用加速的节点，达到加速效果。 DNS DNS即Domain Name System，是域名解析服务的意思。它在互联网的作用是：把域名转换成为网络可以识别的ip地址。人们习惯记忆域名，但机器间互相只认IP地址，域名与IP地址之间是一一对应的，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，整个过程是自动进行的。比如：上网时输入的www.example.ctyun.cn会自动转换成为220.181.112.143。常见的DNS解析服务商有：阿里云解析，万网解析，DNSPod，新网解析，Route53（AWS），Dyn，Cloudflare等。

本文介绍HLS标准加密改写功能的工作原理及配置说明。 功能介绍 HLS标准加密改写功能，是指CDN节点回源获取到M3U8文件内容后，改写其中的 EXTXKEY标签，增加加密算法、秘钥URI地址以及鉴权参数信息。客户端播放器收到被改写的M3U8文件后，基于 EXTXKEY标签识别到对应TS文件为加密文件，此时会携带鉴权参数向秘钥URI地址发起请求，获取到秘钥内容后，基于加密算法和获取的秘钥解密TS数据内容并实现视频播放，最终通过HLS加密实现内容版权保护。 背景信息 视频播放场景中通常都很关注防盗链以及版权保护，HLS协议提供了标准加密方案。 HLS协议中用到很多标签，这些标签存在于M3U8索引文件中，其中 EXTXKEY标签用于显示TS文件是否加密。如携带该标签，且值不为空，则代表TS文件有加密，客户端播放器需要对其进行解密后播放。 常见的 EXTXKEY标签格式： EXTXKEY:METHODAES128,URI" 其含义为：使用AES128算法，秘钥通过 整个过程技术原理如下： 1. 客户端播放器向CDN服务器发起形如： 2. CDN服务器对该请求进行token鉴权，鉴权通过后，若无缓存，则向源站获取原始M3U8文件内容，并对其body部分进行改写，在标签中插入如下内容：

本文主要介绍云服务备份容量类常见问题。 为什么备份容量会大于磁盘中实际容量？ 常见现象 在云主机中存放了文件并进行了备份，删除文件后再次进行备份，备份的大小并没有较大变化或比之前的备份更大。 ECS创建的备份比文件系统查询到的磁盘占用空间大。 原因分析 以下原因可能造成备份容量会大于磁盘中实际容量： 备份机制使然。云服务备份的云主机备份、云硬盘备份、SFS Turbo备份均为块级备份。块级备份不同于文件级备份，块级备份每次备份数据都是以一个扇区(512B)为单位来进行备份。 磁盘中的文件系统的元数据会占用磁盘空间。 文件系统为降低性能消耗，删除文件时只在文件属性中创建删除标记，但是未对扇区里已写入的数据进行擦除，扇区上的元数据仍然存在。块级备份无法感知到扇区内的数据是否删除，只能通过是否是全0数据块来判断此扇区是否要备份。 云服务备份系统会根据数据的写入情况，判断哪些数据产生了变化，这里的“变化”包括新增、修改和删除。云服务备份系统通过两次的快照对比每个扇区的数据是否发生了变化，没有变化则不备份。如果有变化，则判断是不是全0数据块，如果是全0数据块，则不会进行备份；如果是非全0数据块，则会进行备份。即使数据删除后，扇区内的元数据未删除，也会被识别为非0数据块，也会被备份。 解决方案 如您仅需对部分文件进行备份，可以使用相应的文件级别备份方案，以达到减小备份空间和降低成本的目的。

本小节介绍安全专区产品类常见问题。 安全专区相比传统安全组件有什么优势？ 与天翼云平台紧密集成，识别并管理云资产及安全状态； 集成多种满足等保合规的安全组件，单点登录，一键登录并管理所有安全组件； 提供全覆盖的安全态势管理能力，集中展现资产不同的安全状态信息； 集中管理云网边界、虚机、业务系统的漏洞、告警、用户行为和安全运行数据； 一键订购，产品自动交付，快速解决云上等保合规要求。 安全专区的防护功能是否就能满足等保合规需求？ 安全专区可满足等保二级、三级的安全技术合规要求。 一套安全专区的防护能服务于多少个系统？ 安全专区套餐可满足天翼云同个VPC甚至同数据节点的多个VPC的多个业务系统的安全防护要求； 根据资产数量的不同，可配置不同的安全组件授权及虚机资源，满足业务防护性能需求。 日志审计有没有整合在安全专区管理中心？ 有的，日志审计通过部署agent在主机进行管理。 安全专区在多个VPC场景下，资产是否能共同管理？ 多个VPC的情况下，通过VPC路由器进行对等连接打通安全专区VPC，安全专区VPC各功能组件对所有资产共同统一管理。 安全专区产品能否解耦订购？ 支持。 安全专区防火墙防护流量最大能支持多少，如果客户所需流量超过最大防火墙防护流量怎么办？ 目前防火墙最大防护流量能达到1.6G，如果客户所需流量超过1.6G，要先确认客户有多少个VPC，如果客户有多个VPC，可以采用防火墙下沉到各个VPC分别管理的解决方案，这种情况也要结合具体项目情况具体沟通。

场景三：解决SQL注入风险的告警误报 DBSS提供SQL注入检测功能，并内置了一些SQL注入检测规则。您也可以自行添加SQL注入检测规则。 示例：若某些语句命中了SQL注入规则，但是经分析发现该语句并不是一条攻击语句，是自己程序生成的合法语句，如图所示。 SQL注入误报 为了避免DBSS对误报SQL的持续告警，您可以通过设置白名单来解决该误报问题。 风险规则的优先级高于SQL注入规则。 如图所示，执行的SQL语句如下： SELECT COUNT( ) FROM informationschema.TABLES WHERE TABLESCHEMA 'adventureworks' UNION SELECT COUNT( ) FROM informationschema.COLUMNS WHERE TABLESCHEMA 'adventureworks' UNION SELECT COUNT() FROM informationschema.ROUTINES WHERE ROUTINESCHEMA 'adventureworks' 分析语句关键信息：该语句用SELECT语句访问informationschema库的TABLES表。 配置操作如下： 1. 进入风险操作页面进行险操作 2. 单击添加风险操作，填写规则信息。填写规则信息 如图所示，填写的规则表示：在informationschema库的TABLES表执行的SELECT语句为无风险。 添加“操作对象”时，单击“添加操作对象”，填写“目标数据库”和“目标表”，单击“确认”，完成添加。 添加SQL注入白名单操作对象 3. 单击下方“确认”，添加规则成功。设置完成后，再次检测到该语句时，优先命中该条规则，识别为无风险将不再告警。

天翼云网页防篡改（原生版）产品通过Agent进行自动化采集，获取被保护的服务器中写防护目录下文件的进程列表，实时识别异常进程和异常文件变动，并对异常变动进行告警和恢复。 支持的操作系统 网页防篡改（原生版）支持的操作系统请参见支持的操作系统。 防护状态 可查看防护的总体情况，帮助您实时的掌握所有云上网站被篡改的总体态势。 功能 说明 防护总览 查看今日文件变动数 查看最近15天文件变动数 查看防护服务器数 查看防护目录数 查看防护文件总数 查看未绑定/已绑定服务器配额数 防护文件状态图 查看防护文件类型分布（最近15天）统计图 查看文件变动数Top5（最近15天）统计图 告警列表 展示文件增加、删除、修改异常的告警列表 告警查询 根据时间、服务器IP和告警名称进行告警筛选和查询 告警忽略 若当前告警不需要再展示，选择忽略或批量忽略操作后，则该告警不再展示在列表中 防护管理 可为您账号下的云主机和物理机添加防护目录，可采用白名单或黑名单的方式进行添加。可展示当前已添加的服务器的防护目录和备份目录，并进行添加、编辑和删除。 功能 说明 创建网页防篡改（原生版） 适用于首次订购后创建网页防篡改（原生版） 添加防护服务器 适用于非首次订购，对需防护的服务器添加防护策略 防护服务器列表 显示防篡改实例服务器列表 变更防护状态：开启/关闭 添加防护目录 编辑备份目录 解绑配额 绑定配额 防护目录管理 显示服务器防护目录列表 编辑防护目录设置 删除防护目录

本小节介绍漏洞扫描功能特性。 产品主要定位主机系统漏洞发现，弱口令检测、配置脆弱性检测，扫描覆盖多种系统环境，如：Windows、UNIX、Linux、Solaris等，帮助客户发现主机中存在的漏洞风险，根据不同漏洞提供解决建议。 漏洞扫描 多种评估类型：评估主机系统、网络和应用程序的弱点，检测系统内的恶意软件，发现Web服务器和服务的弱点。 丰富的评估能力：网络设备，包括下一代防火墙、操作系统、数据库、Web应用、虚拟和云环境等，扫描IPv4、IPv6和混合网络，可根据需求设置扫描任务运行时间和频率。 两种扫描模式：漏洞扫描器在选择扫描方式时可使用非登录扫描和登录扫描方式，登录扫描能够更深入全面的发现主机漏洞。 持续管理：扫描器可以配置为自动更新，扫描器不断更新高级威胁及零日漏洞插件。 多种报告：自定义报告以按漏洞或主机排序，创建执行摘要或比较扫描结果以突出显示更改，可提供XML、PDF、CSV和HTML类型的报告。 开放端口 SYN扫描：端口扫描是计算机入侵者常用的一种漏洞发现方式，攻击者可以通过它了解到主机攻击弱点，一个开放端口就是一个潜在的通信通道，也就是一个入侵通道。如主机开启FTP服务，默认会开放两个端口，一般为20和21端口，入侵者使用端口扫描发现这两个开放状态的端口后将针对展开入侵行为，成功入侵将对企业造成不可估量损失。而网络运营者主动通过端口扫描发现开放端口，分析开放端口潜在风险，做好开放端口访问限制，识别不必要的开放端口并及时关闭，可避免端口被入侵者利用，提高主机防护能力。

本文指导用户在 DDoS 基础防护阈值内为 IP 调整防护策略,可按需选择定制策略或切换至低误清洗风险的默认宽松策略。 注意 本文仅适用于已开放 DDoS 基础防护控制台的资源池，用于指导用户进行控制台相关操作。已开放控制台的资源池列表如下：华北 2、杭州 7、华南 2、华东 1、内蒙 6、呼和浩特 3。 若您的弹性 EIP 所属资源池未开放 DDoS 基础防护控制台，DDoS基础防护仍会为您提供DDoS封堵通知服务，当EIP流量超过免费基础DDoS防护阈值，平台将对该EIP执行DDoS封堵，通知渠道的具体配置可参照用户指南相关章节。 引言 DDoS基础防护产品依托天翼云资源池网络，根据 IP 带宽、资产类型及资源池网络状况为公网 IP 分配免费的基础 DDoS 防护阈值，并在阈值范围内提供流量监测与防护。当 IP 入向流量峰值超出防护阈值时，为保障平台整体网络稳定，系统将对该 IP 触发 DDoS 封堵。 在DDoS防护阈值内，产品启用默认防护策略对 IP 进行 DDoS 攻击防护，避免单 IP 受攻击影响其他租户正常使用，因此默认防护策略不可取消。用户可根据业务带宽为 IP 选择其他档位DDoS 防护策略（如300Mbps业务带宽适合选择300Mbps防护策略，选择最近的防护策略即可），由系统对流量进行攻击识别与清洗；防护策略存在一定误清洗风险，部分异常业务流量可能被误判拦截（如频繁发送syn报文的业务）。 若无需单独选择特定的档位防护策略，可将 IP 恢复至默认防护策略，该策略规则较为宽松，误清洗风险更低。

本文为您详细介绍Baichuan 2 模型。 模型简介 Baichuan 2 是百川智能推出的新一代开源大语言模型，在多个权威的中文和英文基准测试（benchmark）上均取得了同尺寸模型中的最佳效果。此次发布，Baichuan 2 提供了7B和13B的Base版本以及Chat版本，同时，为了提升部署效率和降低资源消耗，还特别为Chat版本提供了4bit量化的版本。 使用场景 在实际应用方面，Baichuan 2在垂直领域如医学和法律方面表现突出。 这种规模的模型可以更加人性化地执行各种自然语言任务，如问答、翻译、摘要生成等。 此外，Baichuan 2还可以应用于智能客服 、智能助手等场景，提高用户体验和满意度。 评测效果 百川智能在通用、法律、医疗、数学、代码理解以及多语言翻译这六个领域的中英文权威数据集上，对Baichuan 2模型进行了全面的测试。更多详细的测评结果，请访问GitHub上的相关仓库进行查看。 技术亮点 在预训练方面，Baichuan 2采用了广泛的数据来源，并注重数据频率和质量。通过构建大规模去重和聚类系统，Baichuan 2实现了高效的数据处理，确保每个token都得到充分训练。此外，Baichuan 2的分词器也进行了优化，实现了高压缩率和适当大小的词汇表，以提高模型的推理效率和训练效果。 在应用方面，Baichuan 2支持多种任务类型，包括文本生成、文本分类、实体识别等。通过监督预训练和强化学习从人类反馈中获得的方法，Baichuan 2实现了模型对齐，获得了Baichuan 27BChat和Baichuan 213BChat两个会话模型，进一步提升了模型在自然语言处理任务中的性能。

Web应用防火墙（原生版） Web应用防火墙（原生版）（CTWAF，Web Application Firewall，简称WAF）基于三大引擎（安全模型检测引擎+智能语义检测引擎+机器学习检测引擎），结合设备指纹、无感验证码、动态人机挑战、动态环境验证、随机化混淆策略、AI驱动的实时决策等关键技术，支持多种常见编码自动还原能力，提供深度攻击防逃逸功能，构建完整的动态防御闭环，有效检测 SQL 注入、XSS 等基于形式语言的攻击类型，有效应对自动化工具、0day漏洞攻击等高风险威胁。打造专业的Web安全防护能力。可为用户Web应用提供一站式安全防护，对Web业务流量进行智能全方位检测，有效识别恶意请求特征并防御，避免源站服务器被恶意入侵，保护网站核心业务安全和数据安全。更多信息请参考++Web应用防火墙++ 配置方式： 如果您拥有弹性IP、公网NAT网关、弹性负载均衡等网络资产，并需要进行公网流量出入的互联网边界防护需求，您可以在云防火墙的“互联网边界开关”页面将这些网络资产接入云防火墙，并配置相关的互联网边界访问控制规则。具体操作，请参见++防火墙开关互联网边界防火墙++、++访问控制配置互联网边界防护规则++ 如果您拥有对等连接、云间高速、云专线等网络资产，并需要针对内网互访进行VPC边界防护，您可以在云防火墙的“VPC边界开关”页面将内网互访流量接入云防火墙，并配置相关的VPC边界访问控制规则。具体操作，请参见++防火墙开关VPC边界防火墙++、++访问控制配置VPC边界防护规则++

云硬盘能否跨地域备份？ 不能。 当前只支持地域（Region）内备份。创建备份后，您可以使用备份： 恢复数据至源云硬盘。 创建新的云硬盘。新云硬盘与源云硬盘地域必须相同，可用区则无要求。 为什么备份容量会大于操作系统中查看到的使用容量？ 问题场景 在服务器中存放了大量文件，删除文件后进行备份，备份的大小大于操作系统中查看到的已使用空间。 问题原因说明 天翼云云硬盘备份为存储层块级备份，按照块存储中已使用的数据块作为备份目标，并不识别操作系统中的文件变化。操作系统在删除文件时，只在文件属性中创建删除标记，但是未对块设备中的数据进行擦除（设置为0），块备份无法感知到操作系统层的删除标记，只能通过是否是全0数据块来判断否要备份。 解决建议 可采用第三方磁盘清理/擦除工具（由提供工具厂商为工具安全性/可用性负责）为云硬盘进行清理。 为什么备份已删除但显示的存储库剩余空间变化小？ 实际使用中，是有可能出现备份删除后，显示的存储库剩余空间没有变化这种情况的。 此类情况可能由以下几个原因导致： 云硬盘备份底层的异步删除。当删除备份后，底层的备份数据会在短时间内根据备份大小来逐步删除。 默认情况下，云硬盘备份首次备份为全量备份，后续仅会备份发生变化的部分，即为增量备份，删除的备份可能为增量备份，所占空间较小。

解决方案 Nacos中服务实例的权重仅为实例的一个属性。当修改权重值后，权重值会伴随实例信息被推送到Nacos客户端。实际使用时由于使用方式的不同，可能会导致权重属性被忽略。 1. 如果所使用的应用框架不支持按权重分配流量。例如Spring Cloud等框架，此类框架仅识别流量值为0（不引入流量）和非0（引入流量），不支持按照Nacos实例中的流量值进行流量负载均衡。您可以按照以下方法解决。 寻找扩展插件以增加流量分配支持。 更换其他应用框架。 2. 应用框架有自身的负载均衡配置方式，不支持使用Nacos的权重属性。如Dubbo、Spring Cloud Alibaba + Loadbalance等。可以在社区中询问或根据对应框架文档查看如何配置负载均衡。 3. 未使用应用框架进行开发，但是应用在处理时未使用权重值进行地址选择。 应用在获取到实例列表后，根据其中的weight字段实现自定义的选择逻辑。 使用Nacos客户端默认的selectOneHealthyInstance方法进行选择。 Nacos连接超时问题 问题现象 当程序连接Nacos出现超时问题时，可能出现如下几种报错： Connection timed out Read Timeout TimeoutException: Waited 3000 milliseconds 问题原因 可能是以下几种原因，导致程序连接Nacos出现超时问题。 1. 客户端与服务端的网络传输异常，导致客户端发出的请求无法抵达服务端或服务端的回复无法抵达客户端。或者服务端处理请求速度慢，导致客户端误认为超时。 2. 使用VPN导致的网络问题。 3. 客户端的处理线程阻塞或异常，亦或客户端处于Full GC、OOM或CPU争抢等状态， 无法及时处理服务端返回的数据包，导致客户端误认为超时。 4. Nacos集群处于异常状态，无法响应请求。

本文介绍了云防火墙(原生版)产品入侵防御的防护配置功能。 云防火墙（原生版）的入侵防御功能支持防护网络攻击，可以实时检测并拦截恶意端口扫描、暴力破解、远程代码执行、漏洞利用等云上常见等网络攻击，避免服务器被挖矿或勒索。 防护配置 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“入侵防御 > 防护配置”。 3. 在页面上方切换云防火墙实例。 4. 配置防护模式。 观察模式：针对攻击行为仅记录及告警，不拦截。 拦截模式：自动拦截攻击行为，并记录且告警。 5. 高级设置。 虚拟补丁：针对可被远程利用的高危漏洞，应急漏洞，在网络层提供热补丁，实时拦截漏洞攻击行为，避免修复主机漏洞时对业务产生的中断影响。 DDoS防护：针对常见DDoS攻击进行实时自动防御。 病毒防护：通过病毒特征检测来识别病毒文件并产生日志。 6. 创建白名单。 说明 部分实例不支持使用白名单功能。 参数名称 参数说明 名称 自定义名单名称。名称长度不能超过100个字符。 IP版本 支持IPv4、IPv6。 源IP地址 根据所选IP版本，输入对应的IP地址或使用已添加的地址簿： 输入IP：使用“/”隔开掩码。 注意 添加出向规则时，源IP地址配置请配置弹性IP所绑定的内网IP，切勿直接配置弹性IP地址，否则规则无法正常生效。 地址簿选择：通过下拉框选择已添加的IP地址簿，添加IP地址簿请参见[添加IP地址簿](

第1章 服务概述 客户资源优化服务是天翼云基于客户的业务需求，对客户业务资源进行评估、分析和优化，以提高资源利用率、降低成本、提升性能、可用性、可靠性的专业服务。 第2章 应用场景 业务上云前资源规划：对业务的需求、流量和性能等进行分析和预测，制定合理的容量规划，确保业务在上云后能够稳定运行和满足用户需求。 业务上云后资源优化：帮助企业提高资源利用率、规划未来资源容量，增强云上应用的可持续性和稳定性。 周期性成本优化：通过对资源的压测、规划和控制，预测资源使用量、制定资源计划、加强资源监控、优化调度策略，提高资源利用率，降低资源成本。 第3章 服务优势 提高资源利用率：通过对客户资源进行评估和优化，帮助客户充分利用资源，提高资源利用率，减少资源浪费。 降低成本：帮助客户分析资源使用情况和成本分布，提供相应的优化建议，通过合理的资源规划、配置调整和成本控制措施，降低客户的资源成本。 提升性能和可靠性：通过分析客户的应用程序和资源配置，识别性能瓶颈，优化系统架构、调整参数，提高系统的响应速度、吞吐量和可靠性。 第4章 服务范围 客户资源优化服务产品范围：天翼专有云、天翼公有云、天翼混合云的云产品，详见《服务协议》。 天翼云客户资源优化服务范围包含： 天翼云产品范围内的按需压测、成本优化。 资源优化方案实施支持，在服务期内提供技术支持，协助客户将按需压测、成本优化等方案落地。 天翼云客户资源优化服务范围不包含： 具体的配置操作和实施。 非天翼云产品的使用和优化。

注意事项 单一规格的ECS库存容量波动较大，建议在伸缩组中配置库存充裕的实例规格，提高节点伸缩成功率。 由于节点标签和污点配置映射到伸缩组Tag后自动伸缩才可识别，并且伸缩组Tag有数目上限限制，开启自动伸缩的节点池配置的ECS标签、污点和节点标签的总数需要控制在一定数量之内。 自动伸缩的节点池避免手动干预，经过弹性伸缩的ECS在移出节点池后，但在伸缩组中还存在，缩容时也会缩该节点。 常见问题 为什么节点自动伸缩组件无法弹出节点？ 请检查是否存在如下几种场景： 1、配置伸缩组的实例规格无法满足Pod的资源申请（Request）。或者实例规则是已售罄的规格，实际运行时请考虑以下资源预留。 在创建实例的过程中因为虚拟化、OS占用掉一部分。 需要占用一定的节点资源来运行相关组件（例如kubelet、kubeproxy、calico、Container Runtime等）。 默认节点会安装系统组件，Pod的申请资源要小于实例的规格。 2、开启自动伸缩的节点池中出现如下异常情况。 实例未加入到集群且超时。 节点未ready且超时。 为保证后续扩缩准确性，弹性插件以阻塞方式处理异常情况，在处理完异常情况节点前，不进行扩缩容。 为什么节点自动伸缩组件无法缩容节点？ 请检查是否存在如下几种场景： 节点Pod的资源申请（Request）阈值高于设置的缩容阈值。 节点上运行kubesystem命名空间的Pod。 节点上的Pod包含强制的调度策略，导致其他节点无法运行此Pod。 节点上的Pod拥有PodDisruptionBudget，且到达了PodDisruptionBudget的最小值。

本章节介绍MSAP管理类常见问题 MSAP系统中可以自定义创建成员？ 添加子账号请访问 控制台。所有操作云容器引擎命名空间（创建环境绑定云容器引擎命名空间或部署应用）的子账号需要先被主账号授予云容器引擎集群命名空间权限，才可以将已授权的集群命名空间权限授予给其他子账号。账号同步需要子账号用户先登录天翼云官网并访问MSAP控制台才可同步成功。 MSAP系统是否支持无限量的创建项目？ 不允许无限量创建项目，因为此数据受租户配额管理，最多允许租户创建100个项目，如确实需要增加项目数，可以联系客服人员进行合理增加。 跳转到日志服务后，检索不到日志内容？ 出现此问题先按照如下方式进行检查。 1. 检查日志插件是否正常安装，可以在日志收集配置处，点击如何收集日志按钮，按照指引跳到对应的插件界面进行检查和安装。 2. 检查日志路径是否配置正确，配置的路径需要是有日志输出的路径才能正确收集到日志，修改了日志路径，需要再次部署应用才能生效。 应用发布成功后，没有注册到环境中添加的注册配置中心？ 程序中能识别的配置要与官方配置内容格式一致。 Springcloud配置： spring.cloud.nacos.discovery.serveraddr: 127.0.0.1:8859 spring.cloud.nacos.discovery.namespace: default spring.cloud.nacos.discovery.username: xxxxx spring.cloud.nacos.discovery.password: xxxxx Dubbo配置:： dubbo.registry.address: 127.0.0.1:8859 dubbo.registry.username: xxxxx dubbo.registry.password: xxxxx dubbo.registry.parameters.namespace: default

通过SSH客户端运维上传/下载失败 问题现象 在Xshell客户端上，登录云堡垒机运维SSH协议主机资源，不能正常调用Xftp客户端传输文件。 可能原因 云堡垒机SSH客户端运维限制调用工具进行文件传输，即SSH客户端运维不支持文件传输功能和审计传输的文件。 解决办法 重新配置一个同“主机地址”的FTP/SFTP协议主机资源，通过FTP/SFTP客户端运维进行文件传输。 例如，配置SFTP协议主机资源并授权访问控制权限后，直接在Xftp客户端上，登录云堡垒机运维配置的主机资源，即可实现上传/下载文件。 通过Web运维SSH协议主机资源，实现上传/下载文件操作。 通过Web浏览器运维，提示不支持文件传输怎么办？ 问题现象 通过Web浏览器登录Linux主机资源，选择“文件传输”页签，提示“当前主机不支持文件传输功能”，无法查看文件目录。 可能原因 Linux主机systemdlogind服务异常，影响SSH服务正常使用，导致文件传输功能不能被识别。 解决办法 步骤 1 检查SSH服务是否正常。 在运维会话窗口，执行systemctl status sshd.service命令，查看服务状态。 若回显信息如下，则为systemdlogind服务异常，请执行2。 plaintext pamsystemd sshd:session:Failed to create session :Activation of org...... 若回显其他信息，请联系技术支持。 步骤 2 重启Linux主机systemdlogind服务。 在运维会话窗口，执行systemctl restart systemdlogind.service命令，重启登录服务。 步骤 3 重启Linux主机SSH服务。 在运维会话窗口，执行如下命令，重启SSH服务。 plaintext CentOS 6 service sshd restart CentOS 7 systemctl restart sshd 步骤 4 退出登录，重新通过云堡垒机登录Linux主机资源，打开运维会话窗口。 通过Web浏览器运维，单击“文件传输”加载不出文件列表怎么办？