应用退后台桌面断连 天翼云电脑应用切换至手机后台后，可设定时长，让云电脑桌面自动断开连接。 面容/指纹识别 如需手机系统支持面容/指纹识别，可启用安全登录，我账号与安全点击“面容/指纹识别”。 虚拟MFA 开启MFA可以对登录、敏感操作进行二次认证，提高账户的安全性。 退出登录 如需退出AI云电脑登录账号，我点击页面底部“退出登录”，二次确认之后即可退出AI云电脑登录账号。

本文介绍了WAF的Web攻击防护最佳实践，主要从应用场景、防护策略、防护效果三个方面进行介绍。 应用场景 Web应用防火墙（Web Application Firewall，WAF），通过对HTTP(S)请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域或项目。 步骤 3 选择“安全 > Web应用防火墙（独享版）”。 步骤 4 在左侧导航树中，选择“网站设置”，进入“网站设置”页面。 步骤 5 在目标域名所在行的“防护策略”栏中，单击“已开启N项防护”，进入“防护策略”页面。 步骤6 在“Web基础防护”配置框中，查看Web应用攻击防护的防护状态。 Web基础防护功能默认为开启状态，并使用“仅记录”模式的防护规则策略。 状态 ：表示WAF的Web基础防护的防护模块已开启。 ：表示该防护模块处理关闭状态。 模式：分为拦截和仅记录两种模式。 “拦截”模式表示当遭受Web攻击时，WAF立即拦截攻击请求，并在后台记录攻击日志。 “仅记录”模式表示当遭受Web攻击时，WAF不会拦截攻击请求，仅在后台记录攻击日志。 步骤 7 单击“高级设置”，进入“Web基础防护”界面。 “防护等级”：分为宽松、中等、严格三种模式，默认为“中等”防护模式。 防护等级说明 防护等级 说明 宽松 防护粒度较粗，只拦截攻击特征比较明显的请求。 当误报情况较多的场景下，建议选择“宽松”模式。 中等 默认为“中等”防护模式，满足大多数场景下的Web防护需求。 严格 防护粒度最精细，可以拦截具有复杂的绕过特征的攻击请求。 当需要更严格地防护SQL注入、跨站脚本、命令注入等攻击行为时，建议使用“严格”模式。 灵活设置防护检测类型。 WAF默认开启“常规检测”防护检测，用户可根据业务需要，开启其他需要防护的检测类型。

本节主要介绍SQL。 慢SQL 该模块提供指定时间段内的慢SQL分析功能。从用户、IP、SQL模板等进行多维统计，展示统计结果并支持指定排序，识别慢SQL的精准来源，方便用户快速优化业务。 查看慢日志 1、登录管理控制台。 单击管理控制台左上角的，选择区域和项目。 单击页面左上角的，选择“数据库 > 数据管理服务 DAS”，进入数据管理服务页面。 在左侧的导航栏中单击“DBA智能运维 > 实例列表”页签，进入DBA智能运维实例列表页面。 在实例列表页面右上角，按照引擎、实例名称或者实例IP筛选实例。 选择目标实例，单击“详情”，进入DBA智能运维总览页面。 单击“慢SQL”，进入慢日志页面。 选择需要查看的时间段，查看该时间段内慢日志趋势、慢日志统计和慢日志明细。 慢日志趋势 在慢日志趋势图中单击某个时间点，查看该时间点的慢日志或CPU使用率。 在慢日志区域左上角通过切换实例或者节点，查看实例或指定节点的慢日志趋势。 慢日志明细 在慢SQL页面下方查看慢日志明细。慢日志明细提供了当前时间段的慢日志详情，包含执行时间、SQL语句、库名、客户端、用户、执行耗时、锁等待耗时、扫描行、返回行等信息。 单击导出，将慢日志明细导出到指定OBS进行存储。慢日志明细导出成功后，可以单击“查看导出列表”，查看慢日志明细导出记录，也可以通过下载将慢日志明细下载到本地进行查看。 说明 导出及查看导出列表功能仅支持付费实例使用，免费实例暂不支持。 导出及查看导出列表功能仅支持付费实例使用，免费实例暂不支持。 单击操作列的诊断，对当前的SQL模板进行诊断。 慢日志统计 单击SQL模板操作列的“样本”，查看当前SQL模板的样本信息 。 在慢日志统计页面，单击“导出”将慢日志导出到指定的OBS进行存储。慢日志导出成功后，可以单击“查看导出列表”，查看慢日志导出记录，也可以通过下载将慢日志下载到本地进行查看。 说明 导出及查看导出列表功能仅支持付费实例使用，免费实例暂不支持。

本文将向您介绍如何查询您的网站业务统计分析报表。 功能介绍 可以通过安全报表，可以查询Web安全、CC安全两个维度的攻击数、攻击趋势、威胁类型分布、攻击IP TOP 10、TOP攻击URL等报表，并且支持导出报表。 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见WAF接入 新增域名后，边缘云WAF将会自动为域名开启域名防护规则功能，一旦识别到攻击行为，将产生攻击日志，并将攻击数据统计在安全报表中 查看安全报表 1. 登录Web应用防火墙（边缘云版）控制台，在左侧导航栏中选择【统计分析】模块 2. 根据您的站点业务数据查看需求，选择业务分析报表或者热门分析报表页面 业务分析报表说明 业务分析模块可为客户提供带宽流量、请求数、状态码等指标。 通过筛选项进行组合查询带宽流量、请求数、状态码等指标。筛选项包括域名、运营商、地区、时间。 带宽流量。界面中展示的是您所选范围、域名、运营商、地区、时间范围内的带宽和流量统计图表，可通过切换“带宽”和“流量”的按钮查看带宽和流量图，同时会给出查询时间范围内每日总流量、带宽峰值、峰值时间点。 请求数。界面中展示的是您所选范围、域名、运营商、地区、时间范围内的请求数和QPS统计图表，可通过切换“请求数”和“QPS”的按钮查看请求数和QPS图，请求数图表中包括了总请求数、动态http请求数、动态https请求数、静态http请求数、静态https请求数。 天粒度数据统计说明： 没有开启WAF防护：防护请求数0，总请求数静态http请求数+静态https请求数+动态请求数+动态https请求数。 开启WAF防护：动态请求数0，总请求数静态http请求数+静态https请求数+防护请求数。 状态码。界面中展示的是您所选域名、运营商、地区、时间范围内的状态码统计图表，可通过切换“所有状态码”、“2XX”、“3XX”、“4XX”、“5XX”的按钮查看不同状态码的图表，并显示查询时间范围内的总状态码量，同时展示状态码占比表和状态码占比饼图。

本章主要介绍翼MapReduce的备份Hive业务数据功能。 操作场景 为了确保Hive日常用户的业务数据安全，或者系统管理员需要对Hive进行重大操作（如升级或迁移等），需要对Hive数据进行备份，从而保证系统在出现异常或未达到预期结果时可以及时进行数据恢复，将对业务的影响降到最低。 系统管理员可以通过FusionInsight Manager创建备份Hive任务。支持创建任务自动或手动备份数据。 Hive备份恢复功能不支持识别用户的Hive表、索引、视图等对象在业务和结构上存在的关联关系。用户在执行备份恢复任务时，需要根据业务场景管理统一的恢复点，防止影响业务正常运行。 Hive备份恢复功能不支持Hive on RDB数据表，需要在外部数据库中单独备份恢复原始数据表。 已创建的Hive备份任务且包含Hive on HBase表，如果本次备份任务在备集群的备份数据丢失，当下次执行增量备份时备份任务将失败，需要重新创建Hive的备份任务。若下次执行全量则备份正常。 前提条件 如果数据要备份至远端HDFS中，需要准备一个用于备份数据的备集群，认证模式需要与主集群相同。其他备份方式不需要准备备集群。 如果主集群部署为安全模式，且主备集群不是由同一个FusionInsight Manager管理，则必须配置系统互信，请参见配置跨Manager集群互信。如果主集群部署为普通模式，则不需要配置互信。 主备集群必须已配置跨集群拷贝，请参见启用集群间拷贝功能。 主备集群上的时间必须一致，而且主备集群上的NTP服务必须使用同一个时间源。 根据业务需要，规划备份任务的类型、周期、备份对象、备份目录和备份任务需要使用的Yarn队列等策略规格。 检查备集群HDFS是否有充足的空间，备份文件保存的目录建议使用用户自定义的目录。 使用HDFS客户端，以“hdfs”用户执行hdfs lsSnapshottableDir检查当前集群中已创建HDFS快照的目录清单，确保待备份的数据文件所在HDFS路径的父目录或子目录不存在HDFS快照，否则无法创建备份任务。 如果数据要备份至NAS中，需要提前部署好NAS服务端。

本节介绍了外部镜像文件支持的格式和操作系统类型。 支持的文件格式 通过外部镜像文件创建私有镜像时，支持的镜像文件格式包括VMDK、VHD、QCOW2、RAW、VHDX、QED、VDI、QCOW、ZVHD2和ZVHD。请按需选择不同格式的镜像文件。 支持的操作系统类型 外部镜像文件支持的操作系统类型包含： X86架构类型 ARM架构类型 在管理控制台上传外部镜像文件时，系统会自动对镜像的操作系统进行识别。 如果待注册的操作系统版本无法识别或不包含在支持列表中： 对于Windows操作系统，在注册镜像过程中系统会按照“OtherWindows (64bit)”或“OtherWindows (32bit)”类型进行处理。 对于Linux操作系统，在注册镜像过程中系统会按照“OtherLinux (64bit)”或“OtherLinux (32bit)”类型进行处理。 说明 未包含在下表中的操作系统类型有可能不支持镜像上传功能，建议咨询客户服务确认。 外部镜像文件支持的操作系统类型(x86架构类型) 操作系统类型 操作系统版本 :: Rocky Linux Rocky Linux 8.5 64bit Rocky Linux 8.4 64bit Rocky Linux 8.3 64bit AlmaLinux AlmaLinux 8.4 64bit AlmaLinux 8.3 64bit Windows Windows 10 64bit Windows Server 2019 Standard 64bit Windows Server 2019 Datacenter 64bit Windows Server 2016 Standard 64bit Windows Server 2016 Datacenter 64bit Windows Server 2012 R2 Standard 64bit Windows Server 2012 R2 Essentials 64bit Windows Server 2012 R2 Datacenter 64bit Windows Server 2012 Datacenter 64bit Windows Server 2012 Standard 64bit Windows Server 2008 WEB R2 64bit Windows Server 2008 R2 Standard 64bit Windows Server 2008 R2 Enterprise 64bit Windows Server 2008 R2 Datacenter 64bit SUSE SUSE Linux Enterprise Server 15 SP1 64bit SUSE Linux Enterprise Server 15 64bit SUSE Linux Enterprise Server 12 SP5 64bit SUSE Linux Enterprise Server 12 SP3 64bit SUSE Linux Enterprise Server 12 SP2 64bit SUSE Linux Enterprise Server 12 SP1 64bit SUSE Linux Enterprise Server 12 64bit SUSE Linux Enterprise Server 11 SP4 64bit SUSE Linux Enterprise Server 11 SP3 64bit SUSE Linux Enterprise Server 11 SP3 32bit SUSE Linux Enterprise Server 11 SP1 32bit Oracle Linux Oracle Linux Server release 7.6 64bit Oracle Linux Server release 7.5 64bit Oracle Linux Server release 7.4 64bit Oracle Linux Server release 7.3 64bit Oracle Linux Server release 7.2 64bit Oracle Linux Server release 7.1 64bit Oracle Linux Server release 7.0 64bit Oracle Linux Server release 6.10 64bit Oracle Linux Server release 6.9 64bit Oracle Linux Server release 6.8 64bit Oracle Linux Server release 6.7 64bit Oracle Linux Server release 6.5 64bit Red Hat Red Hat Linux Enterprise 8.0 64bit Red Hat Linux Enterprise 7.6 64bit Red Hat Linux Enterprise 7.5 64bit Red Hat Linux Enterprise 7.4 64bit Red Hat Linux Enterprise 7.3 64bit Red Hat Linux Enterprise 7.2 64bit Red Hat Linux Enterprise 7.1 64bit Red Hat Linux Enterprise 7.0 64bit Red Hat Linux Enterprise 6.10 64bit Red Hat Linux Enterprise 6.9 64bit Red Hat Linux Enterprise 6.8 64bit Red Hat Linux Enterprise 6.7 64bit Red Hat Linux Enterprise 6.6 64bit Red Hat Linux Enterprise 6.6 32bit Red Hat Linux Enterprise 6.5 64bit Red Hat Linux Enterprise 6.4 64bit Red Hat Linux Enterprise 6.4 32bit Ubuntu Ubuntu 20.04 Server 64bit Ubuntu 19.04 Server 64bit Ubuntu 18.04 Server 64bit Ubuntu 16.04 Server 64bit Ubuntu 14.04.4 Server 64bit Ubuntu 14.04.4 Server 32bit Ubuntu 14.04.3 Server 64bit Ubuntu 14.04.3 Server 32bit Ubuntu 14.04.1 Server 64bit Ubuntu 14.04.1 Server 32bit Ubuntu 14.04 Server 64bit Ubuntu 14.04 Server 32bit openSUSE openSUSE 42.3 64bit openSUSE 42.2 64bit openSUSE 42.1 64bit openSUSE 15.1 64bit openSUSE 15.0 64bit openSUSE 13.2 64bit openSUSE 11.3 64bit CentOS CentOS 8.0 64bit CentOS 7.9 64bit CentOS 7.8 64bit CentOS 7.7 64bit CentOS 7.6 64bit CentOS 7.5 64bit CentOS 7.4 64bit CentOS 7.3 64bit CentOS 7.2 64bit CentOS 7.1 64bit CentOS 7.0 64bit CentOS 7.0 32bit CentOS 6.10 64bit CentOS 6.10 32bit CentOS 6.9 64bit CentOS 6.8 64bit CentOS 6.7 64bit CentOS 6.7 32bit CentOS 6.6 64bit CentOS 6.6 32bit CentOS 6.5 64bit CentOS 6.5 32bit CentOS 6.4 64bit CentOS 6.4 32bit CentOS 6.3 64bit CentOS 6.3 32bit Debian Debian GNU/Linux 10.0.0 64bit Debian GNU/Linux 9.3.0 64bit Debian GNU/Linux 9.0.0 64bit Debian GNU/Linux 8.8.0 64bit Debian GNU/Linux 8.7.0 64bit Debian GNU/Linux 8.6.0 64bit Debian GNU/Linux 8.5.0 64bit Debian GNU/Linux 8.4.0 64bit Debian GNU/Linux 8.2.0 64bit Debian GNU/Linux 8.1.0 64bit Fedora Fedora 30 64bit Fedora 28 64bit Fedora 27 64bit Fedora 26 64bit Fedora 25 64bit Fedora 24 64bit Fedora 23 64bit Fedora 22 64bit EulerOS EulerOS 2.9 64bit EulerOS 2.5 64bit EulerOS 2.3 64bit EulerOS 2.2 64bit EulerOS 2.1 64bit CoreOS CoreOS 1068.10.0 CoreOS 1010.5.0 CoreOS 1298.6.0 openEuler openEuler 20.03 64bit 中标麒麟 NeoKylin 7.6 64bit NeoKylin 7.4 64bit NeoKylin Server release 5.0 U2 64bit NeoKylin Linux Advanced Server release 7.0 U5 64bit 表 外部镜像文件支持的操作系统类型（ARM架构类型） 操作系统类型 操作系统版本 AlmaLinux AlmaLinux 8.4 64bi tAlmaLinux 8.3 64bit CentOS CentOS 7.6 64bit CentOS 7.5 64bit CentOS 7.4 64bit Debian Debian GNU/Linux 10.2.0 64bit EulerOS EulerOS 2.10 64bit EulerOS 2.9 64bit EulerOS 2.8 64bit Fedora Fedora 29 64bit Ubuntu Ubuntu 20.04 Server 64bit Ubuntu 19.04 Server 64bit Ubuntu 18.04 Server 64bit SUSE SUSE Linux Enterprise Server 12 SP5 64bit openEuler openEuler 20.03 64bit openSUSE openSUSE 15.0 64bit 中标麒麟 NeoKylin V7 64bit NeoKylin 7.7 64bit 统信 UOS 20 64bit 银河麒麟 Kylin V10 64bit Kylin Desktop V10 64bit 麒麟信安 KylinSec 3.3 64bit 普华 iSoft 5.1 64bit

本章节主要介绍翼MapReduce服务如何缩容task节点。 当task节点组内的资源超出您的业务需求时，您可以使用节点缩容功能减少实例数量。 约束与限制 1. V2.20版本起支持task节点缩容功能。 2. 当前仅支持对按需计费模式的task节点进行缩容，包年/包月集群暂不支持该方式缩容。 3. 仅支持对状态为“运行中”的集群进行节点缩容操作。 注意 节点缩容生效后，会立刻销毁对应的主机与硬盘，无法恢复，请慎重操作！缩容前请确保已备份或迁移所需数据。 操作步骤 1. 登录翼MapReduce管理控制台。 2. 从“我的集群”中 ，选中一个运行中的集群并单击集群名称，进入集群信息页面。 3. 选择“更多”，点击“节点缩容”按钮。 4. 翼MR支持“指定数量”与“指定节点”两种方式进行缩容: 指定数量：缩容方式选择“指定数量”后，请设置需要缩容的节点数量，系统将基于节点状态，优先选择状态异常的节点进行缩容。 指定节点：缩容方式选择“指定节点”后，可以在节点列表中勾选需要缩容的节点。 5. 指定缩容的数量或勾选指定节点后，点击“下一步”，系统将对缩容节点进行校验。为避免影响业务运行，缩容后需保障剩余节点上的角色实例数满足组件最小使用需求。 服务名称 角色实例 校验规则 YARN NodeManager 缩容后，至少保有3个NodeManager角色实例 Flume Flume 缩容后，至少保有1个Flume角色实例 Trino TrinoWorker 缩容后，至少保有1个TrinoWorker角色实例 6. 校验时，若识别到即将缩容的节点上存在运行中的任务，请及时检查是否需要更换缩容的节点，若选择正确，提前做好备份和迁移工作。建议完成上述工作后，停止运行中的任务，并观察影响，确认无误后再行缩容。 7. 缩容节点前，请阅读协议并确认是否对列表中的节点进行缩容，勾选协议后，“确认销毁”按钮亮起，点击后将立刻执行销毁动作，请谨慎操作。 8. 缩容成功后，缩减的节点将不在节点管理页面内展示。

DRDS支持对指定表进行审计，即记录指定表的关键操作信息（包括连接表的IP地址、执行用户、执行时间和执行语句信息）。通过该功能，您可以对指定的关键表访问情况进行合规审计。 注意 该功能仅支持命令行。 仅V5.1.9.6020.2531及以后版本的实例支持该功能。 前提条件 已为DRDS实例创建表。 审计日志说明 开启表审计功能后，当用户对指定表进行如下操作时，将会被记录到审计日志中。您可以在udaloperationrecord.log文件中查看指定表的审计信息。 select explain dml（insert、delete、update） index操作：包括create/drop/alter index 字段操作：包括add/modify/change/drop rename truncate drop optimize 约束限制 开启/关闭表审计并指定库名.表名 时，库名.表名 必须加' ，否则解析器会将其识别为两个字段。 审计权限优先级从高到低：指定表审计权限 > 开启运维日志 > 按节点审计。 支持的表数量为20个，超过会报错，开启表审计针对表数量约束不做表名去重判断。 开启指定表审计功能时，会对表有效性进行检查，即实例中是否存在该表；关闭时不做表有效性检查。 操作步骤 1. 执行如下命令，为指定表开启表审计。 plaintext udal set global operationlog on [where audittableschema.table in (tablelist ...)] 示例1：为单个表开启审计功能 示例2：为多个表开启表审计功能 2. 执行如下命令，查看已开启审计功能的表信息。 plaintext udal show audittable 示例1： 示例2： 3. 执行DML、DDL或查询命令，在udaloperationrecord.log文件中查看表审计信息。 示例如下： 4. 如果您需要为指定表关闭表审计，只需执行如下命令： plaintext udal set global operationlog on/off [where audittableschema.table in (tablelist ...)] 注意 关闭表审计后，将不再记录该表的相关信息，您根据实际需要重新开启即可。

天翼AI云电脑是不是和正常电脑用起来一样的？ 天翼AI云电脑和正常电脑的使用体验接近，使用天翼云电脑客户端登录您的帐号，可以快速登录使用了，所有软件及文件数据存在云端，更安全便捷。 其他运营商的网络能否接入？ 只要能接入互联网，不管是手机、宽带、WIFI都可以接入，但是建议您优先使用中国电信的网络，质量和体验更有保障。 是否可以设置计算机账户和密码？ 您可以在天翼AI云电脑“控制面板”中的“用户帐户”中设置计算机账户和密码。但天翼AI云电脑连接时默认选择administrator帐户登录。 移动客户端APP是否支持指纹识别安全登录？ 可以在“我”页面中的“账号与安全”，进入账号与安全页面。 开通指纹识别的设置后，退出应用后再次打开则需要指纹识别安全登录。

服务阶段 实施任务 实施内容 交付物 购买阶段 购买护航版服务 按照 购买阶段 发起护航版服务需求 发起护航版服务需求，详细操作请参见 准备阶段 沟通需求、项目计划，准备《保密协议、授权书》、评估工具等 沟通具体需求，明确项目计划，确定安全评估范围，准备《保密协议、授权书》、评估工具 《保密协议、授权书》 《资产台账》 准备阶段 资产识别/梳理 收集资产范围，核查现有的资产信息情况 《保密协议、授权书》 《资产台账》 安全检查阶段 渗透测试 通过模拟黑客攻击的方式，对网站或在线平台进行全方位渗透入侵测试，提前发现系统潜在的各种高危漏洞和安全威胁，重点针对数据安全涉及漏洞进行检查，如越权漏洞、SQL注入、会话固定、数据明文传输、验证失效等 《漏洞扫描报告》 《基线核查报告》 《渗透测试报告》 安全检查阶段 基线核查 重要服务器、应用系统等基于信息安全风险的角度进行配置核查，从而达到相应的安全防护要求 《漏洞扫描报告》 《基线核查报告》 《渗透测试报告》 安全检查阶段 漏洞扫描 通过扫描工具对目标业务资产进行漏洞扫描 《漏洞扫描报告》 《基线核查报告》 《渗透测试报告》 安全检查阶段 蓝军攻防演练 模拟真实场景中的攻防行动，对攻击行为进行防御演练，从实战中检验目前用户业务的安全程度及防护能力，在面临安全事件时，是否有充分的响应能力，并不断优化自身的安全运营防护体系 《安全实战攻防演练情况总结》 《实在中的安全脆弱点及加固建议》 重保值守 安全检测 通过远程值守的方式，在重保期间内依托于已经部署的安全设备或威胁检测与响应中心等产品，对内外网系统以及安全设备告警信息进行实时监控分析，如内网流量监控、恶意扫描监控、数据窃取监控、网络病毒监控、恶意行为监控及告警信息监控等 《重保总结报告》 《应急响应报告》按需 重保值守 应急响应 在业务遭受攻击或出现异常告警时，现场保障人员配合远程安全专家对攻击或告警进行应急处置，将突发事件带来的损失降到最低，并协助用户开展损失评估、加固指导等，提升网络安全防护水平 《重保总结报告》 《应急响应报告》按需 验收阶段 验收 提交相关技术文档 技术文档

梳理网站的历史访问与攻击情况 单用户的访问频率一般有多少，有助于后续制定合适的频率控制策略。 是否遭受过大流量网络层攻击，判断是否需要开通DDoS服务以及开通多少防护规格。 是否遭受过大量高频的CC攻击，有助于提前配置对应的CC防护策略。 域名接入安全与加速服务 新增域名 需要进入边缘安全加速平台控制台的安全与加速服务，添加加速域名成功后，将域名DNS解析到域名的CNAME，具体操作见新增域名。 配置域名基础配置 根据需求针对域名的回源配置、Websocket、HTTPS配置、IPv6等进行更高级的配置，具体操作见基础配置。 配置域名加速配置 根据需求针对域名的缓存相关配置进行配置，具体操作见缓存配置。 配置域名防护策略 域名接入边缘安全加速平台后，您可根据网站业务需求选择合适的防护策略，具体操作见网站防护配置。 安全基础配置 选择适合您的网站防护模式，默认为告警模式；漏洞防护配置一般情况下建议选择敏感防护规则集，适用于常规网站，且允许少量误报的业务场景。 高级防护 安全与加速服务提供高级防护功能，包括CSRF防护、cookie防护、敏感词防护、攻击挑战、广告防护、网页防篡改等，高级防护功能默认为关闭状态，您可以根据业务需要选择开启响应的防护功能。 访问控制 访问控制可针对IP,IP段，URI，METHOD，请求地区，请求参数，请求头部，请求协议进行组合，设置白名单和黑名单，对请求进行拦截和放行， 保证客户网站不受未知访问的攻击 。 合规检测 合规检测功能可以根据用户实际配置的条件，检查HTTP协议头部，对HTTP请求信息中的方法以及参数长度等信息进行检测，对不符合要求的请求项进行拦截或告警。 域名规则配置 使用基于正则的规则防护引擎和基于机器学习的 AI 防护引擎，进行 Web 漏洞和未知威胁防护， 您可以查看对应的防护规则 ，根据您的业务需求选择开启或关闭规则。 CC配置 CC防护根据访问者的URL，频率、行为等访问特征，迅速智能地识别CC攻击并进行拦截，在大规模CC攻击时可以避免源站资源耗尽，保证企业网站的正常访问。

如何解决Linux在迁移复制过程中，源端创建文件失败？ 问题描述 在迁移复制过程中控制台报错，提示“SMS.1204 在源端创建文件失败,失败原因:/bin/sh: line 0: echo: write error: No space left on device”。 问题分析 源端磁盘使用率过高导致没有剩余可写入的空间，因而源端创建新文件失败。 解决方案 1.执行 df Th查看挂载的各个磁盘分区使用率情况。 2.若磁盘剩余空间不足，请清理磁盘空间或者进行扩容，保证各分区剩余空间不低于1G。 3.在SMS控制台上删除此服务器，然后在源端重新注册Agent，重新进行迁移。 “读取源端文件(/etc/fstab)失败”怎么处理？ 问题描述 启动目的端时提示“SMS.3104 读取源端文件(/etc/fstab)失败”。 问题原因 该问题是因为源端服务器缺少fstab文件，在配置修改的时候读取该文件报错。 解决方案 1. 登录源端服务器，修复 /etc/fstab文件。 2. 登录主机迁移服务控制台，单击左侧导航栏的“迁移服务器”。 3. 单击要迁移的服务器操作列的“开始”，重新开始迁移。 如何处理“目的端磁盘个数不够”？ 问题描述 配置目的端或启动目的端时提示“SMS.1311 目的端磁盘个数不够”。 问题原因 在配置目的端服务器过程中，会校验目的端磁盘数量是否和源端一致。当出现该错误时，检查目的端服务器磁盘数量是否少于源端服务器磁盘数量，或目的端服务器中的硬盘有没有人为删除或卸载。 源端Agent启动后，在源端新增或删除了磁盘，导致Agent无法识别磁盘变化。 检查目的端磁盘数量与源端服务器磁盘数量 1. 登陆RDA控制台。 2. 在左侧导航树中，选择“迁移服务器”。 3. 进入服务器列表页面。 4. 在服务器列表页面，单击“更多 > 删除目的端配置”。 5. 在目的端重新挂载磁盘，保证不少于源端磁盘数量。 6. 在服务器列表页面，单击目的端服务器下的“点击设置”，重新设置目的端并开始迁移任务。 检查源端是否新增或删除了磁盘 1. 登陆RDA控制台。 2. 在左侧导航树中，选择“迁移服务器”。进入服务器列表页面。 3. 在服务器列表页面，单击“更多 > 删除目的端配置”。 4. 在目的端重新挂载磁盘，保证不少于源端磁盘数量。 5. 在服务器列表页面，单击目的端列的“设置目的端”，重新设置目的端并开始迁移任务。

场景 描述 相关说明文档 指定CDN回源请求访问到源站上的具体站点 1.源站是域名时，例如，源站为ctyun.cn，回源HOST为host.ctyun.cn，那么实际回源访问的是ctyun.cn通过域名解析得到的IP（如1.1.1.1）对应主机上的站点host.ctyun.cn。 2.源站是IP时，例如，源站为1.1.1.1，回源HOST为host.ctyun.cn，那么实际回源访问的是1.1.1.1对应主机上的站点host.ctyun.cn。 提高缓存命中率 主要方法包括： 1.配置合理的缓存过期时间，可以有效提高缓存命中率。 2.根据业务需要判断是否启用“去问号缓存”配置，去掉用户请求URL中“?”之后的参数，让相同内容的请求直接命中缓存，提高缓存命中率。CDN控制台上默认开启去问号缓存。 3.通过文件预取功能，提前把源站的内容拉取到边缘节点进行缓存，有效提升首次访问的命中率，同时又能缓解因新内容发布而导致的回源压力问题。 4.开启分片回源功能：CDN节点可以以分片的形式缓存文件，对于Range请求而言，可以有效提高文件分发效率，降低首包时延，同时提高缓存利用率，减少不必要的回源。功能介绍请详见： 提高数据传输安全 开启HTTPS功能前，需要先购买和申请SSL证书。证书相关操作，详情详见： 避免网站资源被恶意盗链，产生额外的流量成本 1.基础防盗链：可通过配置Referer防盗链、IP黑/白名单，用于识别和封禁非法来源的请求，以及非法IP的恶意访问。可通过CDN控制台自助配置新增。 2.高级防盗链：时间戳防盗链、远程鉴权防盗链，通过有时效性的URL来提高盗链难度，以及通过源站来鉴定合法性，安全等级更高。该类防盗链需要客户提前约定鉴权规则，并通过提交工单给天翼云客服，由其人工操作开启。 具体防盗链功能的对接方式，详见右列相关功能说明文档。

什么样的域名无法接入防护？ 网站无域名 云WAF防护通过域名接入的方式来进行防护。用户将需要防护的域名通过CNAME方式指向云WAF，所有流量经过云WAF的清洗后，将正常的流量回源。在没有域名只有IP的情况下，无法实现用户流量的牵引，故无法接入防护。 未取得ICP备案号的网站不允许使用 网站域名与IP不匹配 客户接入云WAF时，需要提供真实的网站域名以及对应的真实网站地址，当网站流量被引流至云WAF，云WAF对流量进行清洗后，正常流量需要回源至客户的服务器进行处理，如果此时提供的IP与网站域名不匹配，会导致正常流量无法处理而被丢弃，从而影响客户网站的正常运行。 HTTPS域名无法提供SSL证书 HTTPS传输的内容为加密内容。当网站为HTTPS方式时，流量到达云WAF均为加密状态，而此时云WAF无法识别这些内容，从而无法执行相应的清洗动作。为保障清洗的正常运行，云WAF需要使用客户的SSL证书对流量进行解密后执行清洗，当清洗完成后，云WAF会再次通过SSL证书将流量加密，并返回给源站，从而保证整个传输过程都是加密的。 网站打不开或无任何实际内容，导致无法判断网站运营范围的网站不允许通过。 相关机构提示网页有威胁的，有非法信息提示不允许通过。 医院类型网站（流产，皮肤病，性病等医院），未获得卫生部资质网站，不允许通过。 网站主体内容含有色情（视频交友，一夜情交友）、违法（办假证，贩卖仿真枪）、黑客（非技术交流网站）、钓鱼网站、游戏私服、游戏外挂、网赚（传销性质网站）、成人用品、保健用品（减肥药）、两性、美女贴图和动漫贴图（尺度过大）、赌博（含贩卖赌博工具）等低俗内容。 网站存在恶意流氓广告（存在非法内容视频链接，非法网页内容链接）不允许通过。 网站内容存在版权风险的网站（视频，小说，音乐网站）不允许通过。 网站含有药品销售、保健品销售，但未取得资质的，或严重夸大药效事实不允许通过。 网站主要业务为向非法网站提供支付、交易平台、担保，代理外国金融理财（炒股，炒现货，炒黄金）等服务的网站不允许通过。 网站中大量存在影响社会和谐稳定的内容的网站（涉嫌攻击国家，攻击领导人，攻击人民，言论煽动性质网站）不允许通过。

本节介绍了管理实时会话的操作场景、注意事项和操作步骤等相关内容。 操作场景 实时会话功能提供当前数据库会话快照查询，并支持排序过滤展示。可基于用户、访问主机、数据库多维度快速过滤识别到自定义慢SQL会话、活跃会话等。Kill会话能应对紧急实例恢复，保障数据库的可用性。 注意事项 Kill会话操作可能会导致业务断连，建议业务有重连机制，请谨慎操作。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页签。 步骤 5 在左侧导航栏选择“智能DBA助手 > 实时诊断”。 步骤 6 选择“实时会话”页签，可以进行如下操作。 查看会话统计结果 在会话统计信息区域，可以查看会话概要（如慢会话数、活跃会话数、会话总数）分别按照用户、访问主机和数据库维度统计的会话结果。 设置慢会话阈值 在页面上方的“慢会话阈值”处，单击 ，在弹框中按需设置慢会话阈值时间，单击“确定”。页面自动刷新筛选出大于该阈值的会话列表。 Kill异常会话 在会话列表，可以查看会话详情，也可以根据实际运行状态和业务需求，选择异常会话，单击“Kill会话”，结束会话，使数据库恢复正常。 说明 批量Kill会话时，一次性最多选择100条会话。 设置SQL限流 在会话列表，单击“SQL限流”，通过设置语句类型、关键字等匹配SQL语句，当所匹配的SQL语句超过设置的最大并发数时，数据库实例会拒绝执行此SQL。从而解决SQL并发数过高导致的实例不稳定问题。 更多内容，请参见新建SQL限流规则。 创建锁分析 创建锁分析前，需要先在“锁&事务”页面登录数据库实例，详见管理锁&事务。单击“创建锁分析”，会生成一条锁分析数据，用于查看是否存在持有锁的会话。 导出会话列表 单击“导出”，可以选择导出全部会话列表，或者导出指定会话列表到表格中。 结束

本文简述天翼云边缘安全加速平台安全与加速服务支持的国密算法套件、适用场景、注意事项及配置方法。 背景介绍 随着近年来外部的国际贸易冲突和技术封锁，内部互联网的快速发展，IOT领域的崛起，以及金融领域的变革愈演愈烈，安全高度不断上升。摆脱对国外技术和产品的过度依赖，建设行业网络安全环境，增强我国行业信息系统的安全可信显得尤为必要和迫切。密码算法是保障信息安全的核心技术，尤其是最关键的银行业核心领域长期以来都是沿用3DES、SHA1、RSA等国际通用的密码算法体系及相关标准，存在安全隐患，天翼云积极响应国家政策，支持国密标准，为金融等政企客户提供更加安全的加密算法。 天翼云边缘安全加速平台安全与加速服务，支持自主部署域名证书，证书算法支持国际和国密标准，并允许同个域名双证书并行。即网关支持双算法证书应用，智能识别和匹配适用算法。在客户端环境支持国密算法时，自动选择国密算法证书，在客户端环境仅支持国际算法时，自动选择国际算法证书，自动建立匹配算法加密通道。 国密介绍 国密算法，即国家商用密码算法。是由国家密码管理局认定和公布的密码算法标准及其应用规范，其中部分密码算法已经成为国际标准。如SM系列密码，SM代表商密，即商业密码，是指用于商业的、不涉及国家秘密的密码技术。 商用密码有很多，以下列举了常用的国际跟国产商用密码： 密码分类 国产商用密码 国际商用密码 对称加密 分组加密/块加密 SM1/SCB2、SM4/SMS4、SM7 DES、IDEA、AES、RC5、RC6 对称加密 分组加密/块加密 ZUC（祖冲之算法）、SSF46 RC4 非对称/公钥加密 大数分解 / RSA、DSA、ECDSA、Rabin 非对称/公钥加密 离散对数 SM2、SM9 DH、DSA、ECC、ECDH 密码杂凑/散列 SM3 MD5、SHA1、SHA2 SM1是一种分组加密算法 对称加密算法中的分组加密算法，其分组长度、秘钥长度都是128bit，算法安全保密强度跟 AES 相当，但是算法不公开，仅以IP核的形式存在于芯片中，需要通过加密芯片的接口进行调用。采用该算法已经研制了系列芯片、智能IC卡、智能密码钥匙、加密卡、加密机等安全产品，广泛应用于电子政务、电子商务及国民经济的各个应用领域(包括国家政务通、警务通等重要领域)。 SM2是非对称加密算法 它是基于椭圆曲线密码的公钥密码算法标准，其秘钥长度256bit，包含数字签名、密钥交换和公钥加密，用于替换RSA/DH/ECDSA/ECDH等国际算法。可以满足电子认证服务系统等应用需求，由国家密码管理局于2010年12月17号发布。SM2采用的是ECC 256位的一种，其安全强度比RSA 2048位高，且运算速度快于RSA。 SM3是一种密码杂凑算法 用于替代MD5/SHA1/SHA2等国际算法，适用于数字签名和验证、消息认证码的生成与验证以及随机数的生成，可以满足电子认证服务系统等应用需求，于2010年12月17日发布。它是在SHA256基础上改进实现的一种算法，采用MerkleDamgard结构，消息分组长度为512bit，输出的摘要值长度为256bit。 SM4是分组加密算法 跟SM1类似，是我国自主设计的分组对称密码算法，用于替代DES/AES等国际算法。SM4算法与AES算法具有相同的密钥长度、分组长度，都是128bit。于2012年3月21日发布，适用于密码应用中使用分组密码的需求。 SM7也是一种分组加密算法 该算法没有公开。SM7适用于非接IC卡应用包括身份识别类应用(门禁卡、工作证、参赛证)，票务类应用(大型赛事门票、展会门票)，支付与通卡类应用(积分消费卡、校园一卡通、企业一卡通、公交一卡通)。 SM9是基于标识的非对称密码算法 用椭圆曲线对实现的基于标识的数字签名算法、密钥交换协议、密钥封装机制和公钥加密与解密算法，包括数字签名生成算法和验证算法，并给出了数字签名与验证算法及其相应的流程。并提供了相应的流程。可以替代基于数字证书的PKI/CA体系。SM9主要用于用户的身份认证。据新华网公开报道，SM9的加密强度等同于3072位密钥的RSA加密算法，于2016年3月28日发布。 相关标准： 2014年：国家密码管理局发布标准《GMT 00242014》规范了国密算法套件：ECCSM4SM3、ECDHESM4SM3。 2020年：国家标准化管理委员会发布标准《GBT386362020》，将国密套件重新规范命名为：ECCSM4CBCSM3、ECDHESM4CBCSM3，并且新增了GCM模式下的算法套件：ECCSM4GCMSM3、ECDHESM4GCMSM3以及基于RSA证书的算法套件：RSASM4CBCSM3、RSASM4GCMSM3、RSASM4CBCSHA256、RSASM4GCMSHA256。 2021年：IETF工作组正式发布国际标准《rfc8998》，该标准在TLS1.3上定义了使用国密算法的套件：TLSSM4GCMSM3、TLSSM4CCMSM3，使用ECDHESM2密钥协商算法，取消了 Client 证书的要求和server 双证书要求。

本节提供本地为Windows操作系统和Linux操作系统的转换镜像格式的操作方法。 应用场景 天翼云目前支持导入RAW、qcow2、vmdk、vhd格式镜像文件。其他镜像文件，需要转换格式后再导入。下面将为您介绍如何使用开源qemuimg工具转换镜像格式。 方案构架 资源和成本规划 资源 资源说明 成本说明 qemuimg 是一款开源的转换镜像格式的工具。 免费 约束与限制 qemuimg镜像格式转换工具支持vhd、vmdk、qcow2、raw、vhdx、qcow、vdi或qed社区格式的镜像的相互转换。 vhd格式镜像在执行命令转换格式时请使用vpc代替，否则可能造成qemuimg工具无法识别镜像格式。 例如，将CentOS 8.4镜像的vhd格式转换为qcow2格式，请执行如下命令： plaintext qemuimg convert p f vpc O qcow2 centos8.4.vhd centos8.4.qcow2 转换Windows操作系统镜像格式 1. 安装qemuimg。 1. 下载qemuimg安装包至本地： 计算机”，右键单击“属性”。 2. 单击“高级系统设置”。 3. 在“系统属性”对话框里，单击“高级>环境变量"。 4. 在环境变量对话框里，在系统变量部分找到Path，并单击“编辑”。在“变量值”里，添加“D:Program Filesqemu”，不同的变量值之间以“;”分隔。 说明 如果没有Path变量请新建，并补充Path的变量值为“D:Program Filesqemu”。 5. 单击“确定”，保存修改。 3. 验证安装成功。 单击“开始>运行”，输入“cmd”后按回车键，在“cmd”窗口输入qemuimg help，如回显信息中出现qemuimg工具的版本信息，即表示安装成功。 4. 转换镜像格式。 1. 在“cmd”窗口输入如下命令切换文件目录，以安装目录为“D:Program Filesqemu”为例。 plaintext d： cd D:Program Filesqemu 2. 执行如下命令转换镜像文件格式，以转换vmdk格式为qcow2格式的镜像为例。 plaintext qemuimg convert p f vmdk O qcow2 centos8.4.vmdk centos8.4.qcow2 上述命令中各参数对应的说明如下： p：表示镜像转换的进度。 f：后面为源镜像格式。 O：必须是大写，后面的参数由如下3个部分组成：转换出来的镜像格式 + 源镜像文件名称 + 目标文件名称。 转换完成后，目标文件会出现在源镜像文件所在的目录下。 回显信息如下所示： plaintext

本文介绍HTTPS定义及配置方法。 功能介绍 HTTP协议以明文方式发送内容，不提供任何方式的数据加密。HTTPS协议是以安全为目标的HTTP通道，简单来说，HTTPS是HTTP的安全版，即将HTTP用SSL/TLS协议进行封装，HTTPS的安全基础是SSL/TLS协议。 在天翼云客户控制台开启HTTPS协议，可实现客户端和天翼云边缘安全加速节点之间数据包的安全加密传输。如果想要实现全链路HTTPS传输，则需要在边缘安全加速节点配置HTTPS协议回源（源站服务器需支持HTTPS协议）。 HTTPS请求的基本流程： 1. 客户端向边缘安全加速节点发起HTTPS请求。 2. 边缘安全加速节点将对应域名的SSL证书公钥发送给客户端。 3. 客户端验证对应证书公钥是否正确，如果正确则随机生成一个密钥A，并使用公钥加密后发送给边缘安全加速节点。 4. 边缘安全加速节点使用SSL证书对应私钥进行解密，得到密钥A。 5. 客户端与边缘安全加速节点在后续通信过程中使用密钥A对传输的数据加密。 6. 客户端与边缘安全加速节点使用密钥A对收到的数据进行解密，获取对应数据。 配置说明 1. 登录边缘安全加速平台控制台。 2. 在域名基础配置页面，点击目标域名。 3. 进入HTTPS配置页面，单击“编辑配置”。 4. 单击右侧【请求协议】，勾选【请求协议】中的【HTTPS】。 5. 单击右侧【HTTPS配置】，选择域名对应的【证书】。如果已经在【证书管理】上传证书，可直接选择对应域名证书。如果还未上传证书，可单击【点击上传】，添加证书。添加完毕后，再选择对应证书，如未找到目标证书，可点击右侧的刷新按钮刷新后再重新选择。 6. 单击【保存】，完成配置。 参数 说明 证书 配置证书前，需先在【请求协议】开启【HTTPS】后进行HTTPS相关配置。 证书，是指在添加自有证书时，为了方便识别和记忆，可以支持客户自定义所上传证书的名称，方便选择时，选定正确的证书与所配置的域名进行关联。 如果已经在【证书管理】上传证书，可直接选择对应域名证书。 如果还未上传证书，可单击【点击上传】，添加自有证书。添加完毕后，再选择对应证书。

本章介绍如何创建元数据采集任务。此功能处于公测阶段，公测阶段可免费使用 前提要求 已完成数据库资产委托授权，参考云资产委托授权/停止授权进行操作。 操作步骤 1. 登录管理控制台。 2. 单击左上角的，选择区域或项目。 3. 在左侧导航树中，单击，选择“安全 > 数据安全中心”，进入数据安全中心总览界面。 4. 在左侧导航树中选择“资产管理 > 元数据任务”，进入“元数据采集任务”页面。 5. 在“元数据采集任务”页面，单击“新建”，进入“新建采集任务 > 数据源配置”页面，具体参数说明如下表所示。 参数名 参数说明 选择数据源 选择数据来源。可选择“MySQL”、“PostgreSQL”、“DMDBMS”、“KingBase”、“OpenGuass”、“DWS”、“Hive”、“MRSHIVE”、“TDSQL”。 数据库实例 选择支持的数据库实例。 6. 单击“下一步”，进入“子任务配置”页面： 选择开启或关闭“扫描用户表”。 选择开启或关闭“扫描系统表”。 选择开启或关闭“扫描列约束”。 选择开启或关闭“扫描视图”。 选择开启或关闭“扫描列注释”。 选择开启或关闭“扫描权限”。 7. 单击“下一步”，进入“任务信息配置”页面，配置任务信息，参数说明请参见下表。 参数名称 参数说明 任务信息 任务名称：必填项， 您可以自定义采集任务的名称。 任务描述：非必填项，对您的采集任务进行描述。 任务配置 选择开启或关闭“删除联通性失败的元数据”。 执行计划 识别周期：您可以选择“单次”、“每日”、“每周”或“每月”。 执行计划：您可以选择“立即执行”或“定时启动”。 8. 单击“下一步”，进入“配置确认”页面，确认您已经配置好的参数。 9. 确认无误后单击“完成”，即可成功创建一个新的元数据采集任务。

本节主要介绍操作跟踪的错误码。 响应码 错误码(code) 错误信息(message) 错误描述 :::: 400 InvalidTrailNameException Trail name too short. Minimum allowed length: 3 characters. Specified name length: 2 characters. 跟踪的名称非法，字符长度不足。 400 InvalidTrailNameException Trail name too long. Maximum allowed length: 128 characters. Specified name length: 140 characters. 跟踪的名称非法，超过最大字符长度。 400 TrailAlreadyExistsException TrailtrailName already exists for the customer:accountId 跟踪已经存在。 400 TrailNotFoundException Unknown trail: arn:ctyun:CloudTrail:ctyun:accountId:trail/trailName for the customer:accountId 跟踪不存在。 400 MaximumNumberOfTrailsExceededException User:accountId already has 10 trails. 跟踪超过最大数量限制。 400 S3BucketDoesNotExistException Bucket name does not exist:bucketName 创建跟踪时，BucketName不存在。 400 InvalidTrailNameException Trail name cannot be blank! 跟踪名称为空。 400 InvalidS3PrefixException S3 prefix is longer than maximum length:s3Prefix 前缀超过长度限制。 400 InvalidLookupAttributesException Lookup attribute key is not valid. Lookup属性key非法。 400 InvalidLookupAttributesException Lookup attribute value is not valid. Lookup属性值非法。 400 InvalidMaxResultsException A max results value of {maxNumber} is invalid. Specify max results between 1 and 50. 设置的lookupEvents返回的最大结果数超过限制。 400 InvalidEventSelectorsException Specify a valid number of selectors for your trail 一个管理事件追踪的筛选器只能有一个。 403 AccessDenied Access Denied 权限认证不通过。 403 AccessDenied Can not access bucket {bucketName} 创建trail时，指定的Bucket不是当前账户下的Bucket。 400 InvalidTrailNameException Trail name must not be formatted as an IP address. trail名称不合法，是ip格式。 400 InvalidTrailNameException Trail name must end with a letter or number. trail名称不合法，不是以数字或字母结尾。 400 InvalidTrailNameException Trail name must start with a letter or number. trail名称不合法，不是以数字或字母开头。 400 InvalidTrailNameException Trail name or ARN cannot have adjacent periods (.), hyphens (), or underscores ()." tail名称不合法，包含连续的“.”“”“”。 400 InvalidEventSelectorsException Value {ReadWriteType} for ReadWriteType is invalid. 创建筛选器时，ReadWriteType的值不正确。 400 InvalidTimeRangeException The start time precedes the end time. Lookup时，起始时间晚于结束时间。 500 InternalError We encountered an internal error. Please try again. 发生内部错误，请重试。 405 MethodNotAllowed Method is not allowed. 操作不能被识别。 400 InvalidTrailNameException Trail name or ARN can only contain uppercase letters, lowercase letters, numbers, periods (.), hyphens (), and underscores (). trail名称不合法，包含非法字符。 400 InvalidS3BucketNameException Bucket name cannot be blank! 创建trail时，Bucket名称不能为空。 400 InvalidLookupAttributesException Lookup attribute key can not be multiple. lookup属性key只能设置一个。

迁移过程中对源端是否会有影响，是否会中断业务？ 主机迁移服务迁移过程中对源端的影响主要体现在网络方面，而对cpu、内存等其他资源影响较小，不会对现有业务产生中断。 因迁移数据量通常比较大，所以会比较消耗带宽资源，迁移前建议评估当前带宽及现有业务对带宽的占用情况，合理分配带宽资源给主机迁移服务。 如何获取天翼云账号的AK/SK？ 访问密钥即AK/SK（AccessKey ID/Secret AccessKey），是您在天翼云的长期身份凭证，您可以通过访问密钥对天翼云API的请求进行签名。天翼云通过AK识别访问用户的身份，通过SK对请求数据进行签名验证，用于确保请求的机密性、完整性和请求者身份的正确性。 创建迁移任务时，需要填写您的访问密钥即AK/SK以便进行鉴权。 获取天翼云账号AK/SK方式如下：天翼云官网控制台账号我的凭证管理访问秘钥，点击新增访问秘钥，在弹窗生成的excel表中获取对应AK/SK。 如何获取IAM用户的AK/SK？ 创建迁移任务时，需要填写您的访问密钥即AK/SK以便进行鉴权。基于权限最小化原则，为了保证您账号中的资源安全，建议您在天翼云账号中创建IAM用户，授予IAM用户对应的权限后，使用IAM用户创建AK/SK。本节介绍了为天翼云账号创建IAM用户并获取AK/SK的方法。 1. 创建用户组并授权 1. 系统策略：如果IAM用户需要主机迁移服务(SMS)的所有操作权限，则为IAM用户授予系统策略。在IAM控制台创建用户组，并授予“SMS FullAccess”、"OBS OperateAccess"、“ECS FullAccess”、“VPC FullAccess”。 2. 自定义策略：如果IAM用户只需要拥有主机迁移服务(SMS)的部分操作权限，则使用自定义策略，参见SMS自定义策略。自定义策略相比于系统策略，粒度更细，更安全。 2. 在IAM控制台创建IAM用户。 3. 给IAM用户授权。将创建的IAM用户，加入步骤1中创建的用户组。 4. 使用创建的IAM用户登录天翼云控制台。 5. 参考访问密钥，控制台账号我的凭证管理访问秘钥，点击新增访问秘钥，在弹窗生成的excel表中获取对应AK/SK。获取IAM用户的AK/SK。

本节介绍数据安全中心与周边服务的依赖关系。 与弹性云主机的关系 弹性云主机是一种可随时自助获取、可弹性伸缩的云服务器。经用户授权后，数据安全中心可以为弹性云服务器上的自建数据库提供敏感数据自动识别分类和数据保护服务。 与物理机的关系 物理机是一款兼具虚拟机弹性和物理机性能的计算类服务。经用户授权后，数据安全中心可以为物理机上的自建数据库提供敏感数据自动识别分类和数据保护服务。 与对象存储服务的关系 对象存储服务是一款稳定、安全、高效、易用的云存储服务，具备标准Restful API接口，可存储任意数量和形式的非结构化数据。经用户授权后，数据安全中心可以为对象存储提供敏感数据自动识别分类、用户异常行为分析、数据保护三大服务。 与关系型数据库的关系 关系型数据库是一种基于云计算平台的即开即用、稳定可靠、弹性伸缩、便捷管理的在线关系型数据库服务。经用户授权后，数据安全中心可以为关系型数据库服务中的实例提供敏感数据自动识别分类和数据保护服务。 与数据仓库服务的关系 数据仓库服务是一种基于公有云基础架构和平台的在线数据处理数据库，提供即开即用、可扩展且完全托管的分析型数据库服务。经用户授权后，数据安全中心可以为数据仓库服务提供敏感数据自动识别分类和数据保护服务。

本文主要介绍如何通过qemuimg工具转换镜像格式 应用场景 支持导入vhd、vmdk、qcow2、raw、vhdx、qcow、vdi、qed、zvhd或zvhd2格式镜像文件。其他镜像文件，需要转换格式后再导入。本节操作指导您使用开源qemuimg工具转换镜像格式。 方案构架 本节提供本地为Windows操作系统和Linux操作系统的转换镜像格式的操作方法。 资源和成本规划 资源 资源说明 成本说明 qemuimg 是一款开源的转换镜像格式的工具。获取方式： 计算机”，右键单击“属性”。 b.单击“高级系统设置”。 c.在“系统属性”对话框里，单击“高级 > 环境变量"。 d.在环境变量对话框里，在系统变量部分找到Path，并单击“编辑”。在“变量值”里，添加“D:Program Filesqemu”，不同的变量值之间以“;”分隔。 说明： 如果没有Path变量请新建，并补充Path的变量值为“D:Program Filesqemu”。 e.单击“确定”，保存修改。 3、验证安装成功。 单击“开始 > 运行”，输入“cmd”后按回车键，在“cmd”窗口输入qemuimg help，如回显信息中出现qemuimg工具的版本信息，即表示安装成功。 4、转换镜像格式。 a.在“cmd”窗口输入如下命令切换文件目录，以安装目录为“D:Program Filesqemu”为例。 d: cd D:Program Filesqemu b.执行如下命令转换镜像文件格式，以转换vmdk格式为qcow2格式的镜像为例。 qemuimg convert p f vmdk O qcow2 centos6.9.vmdk centos6.9.qcow2 上述命令中各参数对应的说明如下： p：表示镜像转换的进度。 f后面为源镜像格式。 O（必须是大写）后面的参数由如下3个部分组成：转换出来的镜像格式 + 源镜像文件名称 + 目标文件名称。 转换完成后，目标文件会出现在源镜像文件所在的目录下。 回显信息如下所示：

本文为您详细介绍DeepSeekR1模型。 模型简介 DeepSeekR1是一款具有671B参数大小的创新性大语言模型，该模型基于transformer架构，通过对海量语料数据进行预训练，结合注意力机制，经过监督微调、人类反馈的强化学习等技术进行对齐，具备语义分析、计算推理、问答对话、篇章生成、代码编写等多种能力。R1模型在多个NLP基准测试中表现出色，具备较强的泛化能力和适应性。 使用场景 DeepSeekR1 模型适用于多种场景，包括但不限于： ●文本生成：如自动写作、内容创作、对话生成等。 ●文本分类：如情感分析、主题分类、垃圾邮件检测等。 ●机器翻译：支持多语言之间的高质量翻译。 ●问答系统：用于智能客服、知识库问答等场景。 ●信息抽取：如实体识别、关系抽取、事件抽取等。 评测效果 在对话模型典型任务方面的评测效果如下： Category Benchmark (Metric) Claude3.5Sonnet1022 GPT4o 0513 DeepSeek V3 OpenAI o1mini OpenAI o11217 DeepSeek R1 Architecture MoE MoE Activated Params 37B 37B Total Params 671B 671B English MMLU (Pass@1) 88.3 87.2 88.5 85.2 91.8 90.8 MMLURedux (EM) 88.9 88.0 89.1 86.7 92.9 MMLUPro (EM) 78.0 72.6 75.9 80.3 84.0 DROP (3shot F1) 88.3 83.7 91.6 83.9 90.2 92.2 IFEval (Prompt Strict) 86.5 84.3 86.1 84.8 83.3 GPQADiamond (Pass@1) 65.0 49.9 59.1 60.0 75.7 71.5 SimpleQA (Correct) 28.4 38.2 24.9 7.0 47.0 30.1 FRAMES (Acc.) 72.5 80.5 73.3 76.9 82.5 AlpacaEval2.0 (LCwinrate) 52.0 51.1 70.0 57.8 87.6 ArenaHard (GPT41106) 85.2 80.4 85.5 92.0 92.3 Code LiveCodeBench (Pass@1COT) 33.8 34.2 53.8 63.4 65.9 Codeforces (Percentile) 20.3 23.6 58.7 93.4 96.6 96.3 Codeforces (Rating) 717 759 1134 1820 2061 2029 SWE Verified (Resolved) 50.8 38.8 42.0 41.6 48.9 49.2 AiderPolyglot (Acc.) 45.3 16.0 49.6 32.9 61.7 53.3 Math AIME 2024 (Pass@1) 16.0 9.3 39.2 63.6 79.2 79.8 MATH500 (Pass@1) 78.3 74.6 90.2 90.0 96.4 97.3 CNMO 2024 (Pass@1) 13.1 10.8 43.2 67.6 78.8 Chinese CLUEWSC (EM) 85.4 87.9 90.9 89.9 92.8 CEval (EM) 76.7 76.0 86.5 68.9 91.8 CSimpleQA (Correct) 55.4 58.7 68.0 40.3 63.7

本文为您详细介绍DeepSeekR1模型。 模型简介 DeepSeekR1是一款具有671B参数大小的创新性大语言模型，该模型基于transformer架构，通过对海量语料数据进行预训练，结合注意力机制，经过监督微调、人类反馈的强化学习等技术进行对齐，具备语义分析、计算推理、问答对话、篇章生成、代码编写等多种能力。R1模型在多个NLP基准测试中表现出色，具备较强的泛化能力和适应性。 使用场景 DeepSeekR1 模型适用于多种场景，包括但不限于： ●文本生成：如自动写作、内容创作、对话生成等。 ●文本分类：如情感分析、主题分类、垃圾邮件检测等。 ●机器翻译：支持多语言之间的高质量翻译。 ●问答系统：用于智能客服、知识库问答等场景。 ●信息抽取：如实体识别、关系抽取、事件抽取等。 评测效果 在对话模型典型任务方面的评测效果如下： Category Benchmark (Metric) Claude3.5Sonnet1022 GPT4o 0513 DeepSeek V3 OpenAI o1mini OpenAI o11217 DeepSeek R1 Architecture MoE MoE Activated Params 37B 37B Total Params 671B 671B English MMLU (Pass@1) 88.3 87.2 88.5 85.2 91.8 90.8 MMLURedux (EM) 88.9 88.0 89.1 86.7 92.9 MMLUPro (EM) 78.0 72.6 75.9 80.3 84.0 DROP (3shot F1) 88.3 83.7 91.6 83.9 90.2 92.2 IFEval (Prompt Strict) 86.5 84.3 86.1 84.8 83.3 GPQADiamond (Pass@1) 65.0 49.9 59.1 60.0 75.7 71.5 SimpleQA (Correct) 28.4 38.2 24.9 7.0 47.0 30.1 FRAMES (Acc.) 72.5 80.5 73.3 76.9 82.5 AlpacaEval2.0 (LCwinrate) 52.0 51.1 70.0 57.8 87.6 ArenaHard (GPT41106) 85.2 80.4 85.5 92.0 92.3 Code LiveCodeBench (Pass@1COT) 33.8 34.2 53.8 63.4 65.9 Codeforces (Percentile) 20.3 23.6 58.7 93.4 96.6 96.3 Codeforces (Rating) 717 759 1134 1820 2061 2029 SWE Verified (Resolved) 50.8 38.8 42.0 41.6 48.9 49.2 AiderPolyglot (Acc.) 45.3 16.0 49.6 32.9 61.7 53.3 Math AIME 2024 (Pass@1) 16.0 9.3 39.2 63.6 79.2 79.8 MATH500 (Pass@1) 78.3 74.6 90.2 90.0 96.4 97.3 CNMO 2024 (Pass@1) 13.1 10.8 43.2 67.6 78.8 Chinese CLUEWSC (EM) 85.4 87.9 90.9 89.9 92.8 CEval (EM) 76.7 76.0 86.5 68.9 91.8 CSimpleQA (Correct) 55.4 58.7 68.0 40.3 63.7

参数 配置说明 规则名称 用户自定义的高可用规则名称，便于管理，支持中文和英文字符，区分和识别当前任务的名称。 自动切换 若勾选自动切换时；当高可用规则满足切换条件时，原从节点会变为主节点，原主节点变为从节点； 若不勾选自动切换时，当高可用规则满足切换条件时，规则状态会提示警告，用户需要手动执行切换。 重启接管 此配置仅在高可用规则的主、从节点中仅有单节点存活并发生重启时生效；不开启重启接管（也不开启自动切换）时，单节点重启后，角色为游离，不加载相关资源，需要人工手动“强制切换”后变为主节点，并加载相关资源；开启重启接管时，单节点重启后，如果是原主节点重启，则重启后继续成为主节点；如果是原从节点重启，则重启后可能是主节点或者游离（不勾选“进入复制状态才允许切换”时，角色变为主节点；勾选“进入复制状态才允许切换”时，角色变为游离状态）。 注意：此配置与“自动切换”互斥。 节点设置 两个节点之间不允许是同一个主机，可添加两个节点加入主机高可用规则，当定义优先级相同的时候，在规则启动后设置为初始主节点的主机将扮演主节点提供应用服务；否则优先级赋值更高的主机会成为初始主节点。 仲裁设置 不设置：用户可以根据自己的环境选择使用仲裁设置，默认为不使用； 节点仲裁：设置仲裁IP地址，这个仲裁IP所在的主机需要安装drnode节点软件并且高可用进程正常运行。在心跳线全部失效的情况下，平台根据仲裁机制来判断谁能接管资源，防止发生脑裂。通讯方式默认为TCP，通讯端口默认为26306。支持多节点仲裁机制，最多可添加12个仲裁节点 磁盘仲裁：要求主节点和从节点上的drnode程序以应用方式运行，并挂载同一个网络驱动器并填写具有读写权限的用户名和密码，并勾选“登录时重新连接”，映射后的盘符要相同。这个映射磁盘称为“仲裁磁盘”。 心跳线 主机高可用节点间的通讯模块，负责主机高可用节点间的信息通讯，心跳的检测，出现故障时备端将自动切换。主机高可用节点非网卡IP地址可手动输入（现版本使用的通讯类型都为TCP，选择其他类型暂不可用）。

本文主要介绍会话保持。 会话保持指负载均衡器可以识别客户与主机之间交互过程的关联性，在实现负载均衡的同时，保持将其他相关联的访问请求分配到同一台主机上。 如果有一个用户在主机甲登录了，访问请求被分配到主机甲，在很短的时间，这个用户又发出了一个请求，如果没有会话保持功能的话，这个用户的请求很有可能会被分配到主机乙去，这个时候在主机乙上是没有登录的，所以需要重新登录。如果配置了会话保持功能，上述一系列的操作过程将由同一台主机完成，避免被负载均衡器分配到不同的主机上，所以也无需重复登录。 按照所使用的协议的不同，会话保持可以分为四层会话保持 和 七层会话保持 。 只有当分配策略类型选择“加权轮询算法”时，才可配置会话保持。 注意 如果您需要从云专线、VPN连接访问ELB，请您使用源IP负载均衡算法代替会话保持功能。 四层会话保持和七层会话保持的区别 类型 说明 支持的会话保持类型 会话保持时间 会话保持失效的场景 四层会话保持 当使用的协议为TCP或UDP时，即为四层会话保持。 源IP地址：基于源IP地址的简单会话保持，将请求的源IP地址作为散列键（HashKey）， 从静态分配的散列表中找出对应的主机。即来自同一IP地址的访问请求会被转发到同一台后端主机上进行处理。 默认时间：20分钟； 最长时间：1小时取值范围：160分钟 客户端的源IP地址发生变化。 客户端访问请求超过会话保持时间。 七层会话保持 当使用的协议为HTTP或HTTPS时，即为七层会话保持。 负载均衡器cookie：负载均衡器会根据客户端第一个请求生成一个cookie， 后续所有包含这个cookie值的请求都会由同一个后端主机处理。 应用程序cookie ：该选项依赖于后端应用。后端应用生成一个cookie值， 后续所有包含这个cookie值的请求都会由同一个后端主机处理。 默认时间：20分钟； 最长时间：24小时取值范围：11440分钟 如果客户端发送请求未附带cookie，则会话保持无法生效。 客户端访问请求超过会话保持时间。 独享型负载均衡器支持源IP地址、负载均衡器cookie两种会话保持类型。 共享型负载均衡器支持源IP地址、负载均衡器cookie、应用程序cookie三种会话保持类型。

本小节介绍日志审计(原生版)新增资产。 日志审计（原生版）提供集中化的统一管理平台，将所有的需要审计的设备统一纳管入平台中，进行信息资产的统一日志管理。 在使用日志审计（原生版）之前，您需要先纳管资产，以便服务可以进行日志管理。 新增资产组 1. 登录日志审计（原生版）控制台。 2. 在左侧导航栏选择“资产 > 资产管理”。 3. 单击页面上的“新增组”。 4. 在弹出的对窗口中填写“资产组名称”，填写完成后单击“确认”即可新增资产组。 参数 参数说明 父资产组 不可选择，系统默认填写。 资产组名称 填写您需要创建的资产组名称，最大长度不超过64个字符。 新增资产 1. 登录日志审计（原生版）控制台。 2. 在左侧导航栏选择“资产 > 资产管理”。 3. 选择需要新增资产的资产组，进入资产组页面后，单击“新增资产”。 下图以选择默认的资产组为例，实际请根据业务情况自行选择资产组。 4. 进入“新增”页面，填写待新增的资产内容（下表仅展示必填项，完整的填写内容请参考新增资产）。 注意 日志采集方式、资产类型和IP需要根据实际情况选择。 参数 参数说明 取值样例 基本属性 资产名称 填写您的资产名称，最大长度不超过64个字符。 资产示例 基本属性 管理IP 填写待纳管设备的主识别IP，请确保IP真实有效。 0.0.0.0 基本属性 资产大类 在下拉框中选择待纳管资产的设备类别。 主机 基本属性 资产小类 在下拉框中选择待纳管资产的具体设备类型。 服务器/其他 基本属性 SyslogUdp采集 选择是否开始SyslogUdp采集，默认开启，建议选择开启。 开启 安全属性 机密性 选择待纳管资产的机密等级，可选110级，默认选择1级。 1级 安全属性 完整性 选择待纳管资产的完整等级，可选110级，默认选择1级。 1级 安全属性 可用性 选择待纳管资产的可用等级，可选110级，默认选择1级。 1级 安全属性 资产价值 选择待纳管资产的资产价值，可选“低”、“中”、“高”，默认为“低”。 低 安全属性 等保级别 选择待纳管资产的等保等级，可选110级，默认选择1级。 1级 接口 IP 与“管理IP”一致，请确保IP真实有效。 0.0.0.0 接口 IP类型 选择纳管资产的IP类型，请如实选择。 公网

服务月报是帮助客户总结云上资源运行状态，找出痛点问题和优化建议的专业报告。 服务月报是为企业级支持计划客户呈现的资源总体情况、服务总结、云上资源可用性分析、健康状态分析等，帮助客户总结云上资源运行状态，找出痛点问题和优化建议的专业报告。 天翼云在客户加入企业级支持计划次月起提供月报服务，根据客户要求，按需于每月第15个工作日前向客户要求的邮箱发送上月服务月报。 服务月报核心内容包括： 资源总结情况： 各产品线资源数量，月度周期的资源变化量； 服务总结： 月度工单整体情况，重点报障信息及需求跟进情况； 云上资源可用性分析： 识别各产品线风险项，提出优化建议，整改进展和当前状态； 主要云资源和网络健康状态分析： 描述使用概览，月度运行情况，以及提出优化建议； 安全防护： 依据客户使用的安全产品出具安全报表和建议。 注意 在一些特殊情况下，可能因数据采集制约导致天翼云无法生成和发送月报。例如，尚处于上云POC阶段的部署架构可能变动较大不适宜生成月报；专属云特定部署场景也可能导致工具无法采集到月报数据；部分资源池暂时无法对接，月报中部分数据可能存在一定差异。 在输出服务月报的过程中，天翼云需采集客户的基础设施运维数据。所有数据仅用于制作服务月报，不会用于其他任何目的。数据采集类型和用途说明如表1所示。 表1 数据采集类型和用途说明 数据类型 说明 采集和存储方式 数据用途 ::: 服务工单数据 技术类、业务类工单清单。 工单的编号、描述、问题分类、创建时间、解决时间等工单信息。 经自动化工具调用工单API查询结果，中途不存储数据，月报结果按照租户隔离存储。 自动化统计分析，生成月报“服务工单”内容。 云服务资源实例数据 客户创建的资源列表，各资源数量。 资源id、名称、状态、规格、创建时间、IP地址、使用量及服务资源相关的基本配置信息。 经自动化工具调用云服务API查询结果，中途不存储数据，月报结果按照租户隔离存储。 自动化统计分析，生成月报“资源概况”内容。 资源负载监控数据 CPU使用率、内存使用率、磁盘使用率、磁盘读写速率、 IP出口带宽、IP入口带宽、并发连接数、新建连接数、网络延迟、网络丢包率等资源监控指标。 经自动化工具调用云服务API查询结果，中途不存储数据，月报结果按照租户隔离存储。 自动化统计分析，生成月报“资源概况”内容。

如何解决Linux在迁移复制过程中，源端创建文件失败？ 问题描述 在迁移复制过程中控制台报错，提示“SMS.1204 在源端创建文件失败,失败原因:/bin/sh: line 0: echo: write error: No space left on device”。 问题分析 源端磁盘使用率过高导致没有剩余可写入的空间，因而源端创建新文件失败。 解决方案 1.执行 df Th查看挂载的各个磁盘分区使用率情况。 2.若磁盘剩余空间不足，请清理磁盘空间或者进行扩容，保证各分区剩余空间不低于1G。 3.在SMS控制台上删除此服务器，然后在源端重新注册Agent，重新进行迁移。 “读取源端文件(/etc/fstab)失败”怎么处理？ 问题描述 启动目的端时提示“SMS.3104 读取源端文件(/etc/fstab)失败”。 问题原因 该问题是因为源端服务器缺少fstab文件，在配置修改的时候读取该文件报错。 解决方案 1. 登录源端服务器，修复 /etc/fstab文件。 2. 登录主机迁移服务控制台，单击左侧导航栏的“迁移服务器”。 3. 单击要迁移的服务器操作列的“开始”，重新开始迁移。 如何处理“目的端磁盘个数不够”？ 问题描述 配置目的端或启动目的端时提示“SMS.1311 目的端磁盘个数不够”。 问题原因 在配置目的端服务器过程中，会校验目的端磁盘数量是否和源端一致。当出现该错误时，检查目的端服务器磁盘数量是否少于源端服务器磁盘数量，或目的端服务器中的硬盘有没有人为删除或卸载。 源端Agent启动后，在源端新增或删除了磁盘，导致Agent无法识别磁盘变化。 检查目的端磁盘数量与源端服务器磁盘数量 1. 单击“服务列表”，选择“迁移 > 主机迁移服务”。 2. 进入“主机迁移服务”页面。 3. 在左侧导航树中，选择“迁移服务器”。 4. 进入服务器列表页面。 5. 在服务器列表页面，单击“更多 > 删除目的端配置”。 6. 在目的端重新挂载磁盘，保证不少于源端磁盘数量。 7. 在服务器列表页面，单击目的端服务器下的“点击设置”，重新设置目的端并开始迁移任务。 检查源端是否新增或删除了磁盘 1. 单击“服务列表”，选择“迁移 > 主机迁移服务”。进入“主机迁移服务”页面。 2. 在左侧导航树中，选择“迁移服务器”。进入服务器列表页面。 3. 在服务器列表页面，单击“更多 > 删除目的端配置”。 4. 在目的端重新挂载磁盘，保证不少于源端磁盘数量。 5. 在服务器列表页面，单击目的端列的“设置目的端”，重新设置目的端并开始迁移任务。

此小节介绍什么是企业主机安全。 企业主机安全服务（Host Security Service，HSS）是以工作负载为中心的安全产品，集成了主机安全、容器安全和网页防篡改，旨在解决混合云、多云数据中心基础架构中服务器工作负载的独特保护要求。 HSS不受地理位置影响，为主机、容器等提供统一的可视化和控制能力。 HSS通过对主机、容器进行系统完整性的保护、应用程序控制、行为监控和基于主机的入侵防御等，保护工作负载免受攻击。 主机安全 主机安全是提升主机整体安全性的服务，通过主机管理、风险预防、入侵检测、高级防御、安全运营、网页防篡改功能，全面识别并管理主机中的信息资产，实时监测主机中的风险并阻止非法入侵行为，帮助企业构建服务器安全体系，降低当前服务器面临的主要安全风险。 在主机中安装Agent后，您的主机将受到HSS云端防护中心全方位的安全保障，在安全控制台可视化界面上，您可以统一查看并管理同一区域内所有主机的防护状态和主机安全风险。 企业主机安全服务的工作原理如图所示。 企业主机安全服务的组件功能及工作流程说明如下： 组件功能及工作流程说明 组件 说明 管理控制台 可视化的管理平台，便于您集中下发配置信息，查看在同一区域内主机的防护状态和检测结果。 HSS云端防护中心 使用AI、机器学习和深度算法等技术分析主机中的各项安全风险。 集成多种杀毒引擎，深度查杀主机中的恶意程序。 接收您在控制台下发的配置信息和检测任务，并转发给安装在服务器上的Agent。 接收Agent上报的主机信息，分析主机中存在的安全风险和异常信息，将分析后的信息以检测报告的形式呈现在控制台界面。 Agent Agent通过HTTPS和WSS协议与HSS云端防护中心进行连接通信，默认端口：10180。 每日凌晨定时执行检测任务，全量扫描主机；实时监测主机的安全状态；并将收集的主机信息（包含不合规配置、不安全配置、入侵痕迹、软件列表、端口列表、进程列表等信息）上报给云端防护中心。 根据您配置的安全策略，阻止攻击者对主机的攻击行为。 如果未安装Agent或Agent状态异常，您将无法使用主机安全服务。 根据操作系统版本选择对应的安装命令/安装包进行安装。 网页防篡改、容器安全与主机安全共用同一个Agent，您只需在同一主机安装一次。

步骤2：域名接入WAF 此步骤需要进入WAF控制台，添加加速域名并配置 CNAME，操作详情请参考： 操作指导WAF接入。 步骤3：域名管理 对资源文件的回源地址进行管理以及配合源站实际业务场景进行更高级的配置，包括源站配置、缓存配置等，操作详情请参考：操作指导域名管理。 步骤4：配置防护策略 如上图所示，域名接入WAF后，您可根据网站业务需求选择合适的防护策略。 安全基础配置 选择适合您的网站防护模式，默认为告警模式；漏洞防护配置一般情况下建议选择敏感防护规则集，适用于常规网站，且允许少量误报的业务场景。更多配置详情请参考：设置规则防护。 高级防护 提供WAF的高级防护功能，包括CSRF防护、cookie防护、敏感词防护、攻击挑战、广告防护、网页防篡改等，高级防护功能默认为关闭状态，您可以根据业务需要选择开启响应的防护功能。配置详情请参考：安全防护配置。 账户安全防护 账户安全防护提供对网站账户的防护，包括撞库防护、暴力破解防护。配置详情请参考：安全防护配置账户安全防护。 访问控制 访问控制可针对IP,IP段，URI，METHOD，请求地区，请求参数，请求头部，请求协议进行组合，设置白名单和黑名单，对请求进行拦截和放行， 保证客户网站不受未知访问的攻击 。配置详情请参考：安全防护配置访问控制。 合规检测 合规检测功能可以根据用户实际配置的条件，检查HTTP协议头部，对HTTP请求信息中的方法以及参数长度等信息进行检测，对不符合要求的请求项进行拦截或告警。配置详情请参考：安全防护配置合规检测策略。 域名规则配置 使用基于正则的规则防护引擎和基于机器学习的 AI 防护引擎，进行 Web 漏洞和未知威胁防护， 您可以查看对应的防护规则 ，根据您的业务需求选择开启或关闭规则。 CC配置 CC防护根据访问者的URL，频率、行为等访问特征，迅速智能得识别CC攻击并进行拦截，在大规模CC攻击时可以避免源站资源耗尽，保证企业网站的正常访问。配置详情请参考：安全防护配置CC配置。