本文介绍函数运行时的addEventListener定义与用法。 此函数定义了执行用户函数脚本的触发器。addEventListener仅支持注册一个事件监听器。当前仅支持fetch请求事件，通过注册fetch事件监听器，生成HTTP请求事件FetchEvent，进而实现对HTTP请求的处理。 定义 javascript addEventListener(type: string, listener: (event: FetchEvent) > void): void; 说明 如果注册了多个"fetch"类型的监听器，当一个监听器未调用时event.respondWith()，运行时会将事件传递给下一个已注册的监听器。 如果对某个事件进行多次调用会形成调用链条。当某个回调函数调用了respondWith函数时，调用链条会被终止，后面注册的回调函数不会再被调用。 参数 type string 事件类型，当前仅支持"fetch"，后续会支持"scheduled"。 listener function 事件监听器。用于处理事件回调。 示例 javascript // 注册请求事件监听器 addEventListener("fetch", event > { // 响应客户端请求 return event.respondWith( new Response("Hello world") ) }) 相关参考 示例代码：返回HTML页面 示例代码：返回JSON内容

本章节以Linux操作系统为例，指导您通过弹性云主机公网方式连接GeminiDB Influx实例。 前提条件 GeminiDB Influx实例需要绑定弹性公网IP并设置安全组规则，确保可以通过弹性云主机访问弹性公网IP，具体操作请参见绑定弹性公网IP和设置安全组规则。 创建弹性云主机，以Linux操作系统为例。详情请参见《弹性云主机快速入门》中购买弹性云主机的内容。 下载InfluxDB客户端，以Linux 64bit为例。 操作步骤 1. 登录弹性云主机，详情请参见《弹性云主机快速入门》中登录弹性云主机的内容。 2. 将InfluxDB客户端安装包上传到弹性云主机（可通过xftp等文件传输工具上传）。 3. 解压客户端工具包。 tar xzf influxdb1.7.9staticlinuxamd64.tar.gz 4. 在“influx”工具所在目录下，连接数据库实例。 通过如下命令，进入InfluxDB目录。 cd influxdb1.7.91 连接GeminiDB Influx实例。 使用SSL方式连接数据库 ./influx ssl unsafeSsl host port 示例： ./influx ssl unsafeSsl host 10.xx.xx.xx port 8635 使用非SSL方式连接数据库 ./influx host port 示例： ./influx host 10.xx.xx.xx port 8635 表1 参数说明 参数 说明 待连接节点的弹性公网IP。您可以在“实例管理”页面，单击实例名称，进入“基本信息”页面，在节点信息列表中获取“弹性IP”。 如果您购买的实例有多个节点，选择其中任意一个节点的弹性公网IP即可。 若当前节点尚未绑定弹性公网IP，请参见绑定弹性公网IP 为当前实例绑定弹性公网IP后，再根据本章节操作连接实例。 待连接实例的端口，默认为8635，且不可修改。 您可以在“实例管理”页面单击实例名称，进入“基本信息”页面，在“网络信息 > 数据库端口”处获取当前GeminiDB Influx实例的端口信息。 输入auth命令，进行身份验证。 auth 根据提示输入用户名和密码。 username： password： 表2 参数说明 参数 说明 管理员账户名，默认为rwuser。您可以在“实例管理”页面单击实例名称，进入“基本信息”页面，在“数据库信息”模块的“管理员账户名”处获取。 管理员密码。 5. 验证身份通过后，再输入命令 show databases 。 show database 出现如下信息，表示示例连接成功： name: databases name internal

步骤二：微调DeepSeek模型 1. 启动LLaMAFactory服务 在完成云主机开通后，即可通过ssh连接到到云主机命令行。模型及LLaMAFactory服务均已放置在/root目录下，且已完成配套环境安装，可直接运行。 plaintext 进入目录 cd /root/LLaMAFactory 启动webui服务 (也可通过nohup放到后台启动) llamafactorycli webui 在成功启动LLaMAFactory服务后，您将可以通过 访问到相关页面。 plaintext 访问服务 2. 配置基础大模型和微调方法 在成功进入LLaMAFactory页面后，您首先需要按照如图的内容进行页面语言，模型名称和模型路径的设置。 注意 注意模型预置在/root/DeepSeekR1DistillQwen7B目录下。 3. 配置微调数据集 在Train页面内，您需要配置用于微调训练的数据集。镜像内预置了alpaca格式的天翼云示例数据，您也可参考示例数据修改/root/LLaMAFactory/data/目录下的alpacazhctyun.json(微调数据集)和datasetinfo.json(数据集信息)两个文件，改用您自己的私有数据。 镜像内置两份数据集，单条内容示例如下： data/alpacazhctyun.json(天翼云文档数据集) plaintext { "instruction": "天翼云的通用型弹性云主机有哪些规格？", "input": "", "output": " 用户询问通用型云主机规格，首先需要明确通用型的定位是平衡计算和内存资源。根据产品文档，通用型以s7系列为代表，应当列举不同后缀规格及其配置差异，最后补充适用场景说明。 n通用型弹性云主机有多个规格，例如s7.small、s7.medium、s7.large、s7.xlarge等，每种规格提供不同的vCPU和内存配置，适合多种业务场景。" } data/alpacaenmedcalcbenchmax2k.json(医学计算数据集MedCalcBench) plaintext { "instruction": "A 16yearold female adolescent was referred to our hospital with severe hypertension (systolic pressure 178 mmHg), which was first detected 7 months prior to presentation during a routine annual physical ...", "input": "What is the patient's Creatinine Clearance using the CockroftGault Equation in terms of mL/min? You should use the patient's adjusted body weight in kg instead of the patient's actual body weight if the patient is ...", "output": " The formula for computing CockcroftGault is given by CrCl ((140 age) adjusted weight (gendercoefficient)) / (serum creatinine 72), where the gendercoefficient is 1 if male, and 0.85 if female..." } 4. 配置相关训练参数 在Train页面内，还有大量可修改的微调训练参数。如果您对他们还不够了解，可暂时不进行修改。其中，训练轮数与样本量级关联性较大，如果您的微调数据量很少，则可能需要设置较大的训练轮数，才能有效果。 5. 启动微调训练 点击最下方的开始按钮，即可基于上面选择的基础模型和微调数据集，启动模型微调训练。页面下方会显示实时的训练进度，训练日志和loss变化情况。 如果您的训练样本较多，单张A10显卡的24G显存很容易因为无法承载，而导致报错"CUDA out of memory"。此时，您需要将云主机变配到显存更大的机型规格，并开启DeepSpeed stage3进行模型参数分片，如下图所示。 同时，您还需要修改默认DeepSpeed配置中的部分参数，以保证训练正常进行。修改/root/LLaMAFactory/cache/dsz3config.json中的如下内容： plaintext "zerooptimization": { "stage": 3, "overlapcomm": true, "contiguousgradients": true, "subgroupsize": 1e9, "reducebucketsize": "auto", "stage3prefetchbucketsize": "auto", "stage3parampersistencethreshold": "auto", "stage3maxliveparameters": 1e4, //降低该参数以减少显存占用 "stage3maxreusedistance": 1e4, //降低该参数以减少显存占用 "stage3gather16bitweightsonmodelsave": true }

步骤二：微调DeepSeek模型 1. 启动LLaMAFactory服务 在完成云主机开通后，即可通过ssh连接到到云主机命令行。模型及LLaMAFactory服务均已放置在/root目录下，且已完成配套环境安装，可直接运行。 plaintext 进入目录 cd /root/LLaMAFactory 启动webui服务 (也可通过nohup放到后台启动) llamafactorycli webui 在成功启动LLaMAFactory服务后，您将可以通过 访问到相关页面。 plaintext 访问服务 2. 配置基础大模型和微调方法 在成功进入LLaMAFactory页面后，您首先需要按照如图的内容进行页面语言，模型名称和模型路径的设置。 注意 模型预置在/root/DeepSeekR1DistillQwen7B目录下。 3. 配置微调数据集 在Train页面内，您需要配置用于微调训练的数据集。镜像内预置了alpaca格式的天翼云示例数据，您也可参考示例数据修改/root/LLaMAFactory/data/目录下的alpacazhctyun.json(微调数据集)和datasetinfo.json(数据集信息)两个文件，改用您自己的私有数据。 镜像内置两份数据集，单条内容示例如下： data/alpacazhctyun.json(天翼云文档数据集) plaintext { "instruction": "天翼云的通用型弹性云主机有哪些规格？", "input": "", "output": " 用户询问通用型云主机规格，首先需要明确通用型的定位是平衡计算和内存资源。根据产品文档，通用型以s7系列为代表，应当列举不同后缀规格及其配置差异，最后补充适用场景说明。 n通用型弹性云主机有多个规格，例如s7.small、s7.medium、s7.large、s7.xlarge等，每种规格提供不同的vCPU和内存配置，适合多种业务场景。" } data/alpacaenmedcalcbenchmax2k.json(医学计算数据集MedCalcBench) plaintext { "instruction": "A 16yearold female adolescent was referred to our hospital with severe hypertension (systolic pressure 178 mmHg), which was first detected 7 months prior to presentation during a routine annual physical ...", "input": "What is the patient's Creatinine Clearance using the CockroftGault Equation in terms of mL/min? You should use the patient's adjusted body weight in kg instead of the patient's actual body weight if the patient is ...", "output": " The formula for computing CockcroftGault is given by CrCl ((140 age) adjusted weight (gendercoefficient)) / (serum creatinine 72), where the gendercoefficient is 1 if male, and 0.85 if female..." } 4. 配置相关训练参数 在Train页面内，还有大量可修改的微调训练参数。如果您对他们还不够了解，可暂时不进行修改。其中，训练轮数与样本量级关联性较大，如果您的微调数据量很少，则可能需要设置较大的训练轮数，才能有效果。 5. 启动微调训练 点击最下方的开始按钮，即可基于上面选择的基础模型和微调数据集，启动模型微调训练。页面下方会显示实时的训练进度，训练日志和loss变化情况。 如果您的训练样本较多，单张A10显卡的24G显存很容易因为无法承载，而导致报错"CUDA out of memory"。此时，您需要将云主机变配到显存更大的机型规格，并开启DeepSpeed stage3进行模型参数分片，如下图所示。 同时，您还需要修改默认DeepSpeed配置中的部分参数，以保证训练正常进行。修改/root/LLaMAFactory/cache/dsz3config.json中的如下内容： plaintext "zerooptimization": { "stage": 3, "overlapcomm": true, "contiguousgradients": true, "subgroupsize": 1e9, "reducebucketsize": "auto", "stage3prefetchbucketsize": "auto", "stage3parampersistencethreshold": "auto", "stage3maxliveparameters": 1e4, //降低该参数以减少显存占用 "stage3maxreusedistance": 1e4, //降低该参数以减少显存占用 "stage3gather16bitweightsonmodelsave": true }

防护模块配置 WAF支持多种威胁防护模块，防护模块概述如下： 防护模块 说明 默认规则 配置建议 Web应用基础防护 覆盖OWASP中的常见的攻击类型，通过内置规则库进行安全防护。 用户可选择系统默认规格的规则库，也可自定义防护规则库，实现针对性防护。 可开启/关闭，默认处于开启状态。 包括系统默认规则组（正常/宽松/严格）以及用户自定义规则组。默认选择正常规则组。 可根据不同的防护需求选择不同的防护等级： 正常规则组为考虑漏保和误报均衡结果的规则组，一般业务防护建议选择正常规则组。 宽松规则组提供精准的攻击检测策略，仅会对较为明确的攻击进行防护。 严格规则组提供全面的安全演策，会阻断所有可能为攻击的行为。 CC攻击防护 CC攻击（Challenge Collapsar）是DDoS的一种，攻击者通过代理服务器向受害主机不停发送大量数据包，造成Web业务服务器的资源耗尽，从而无法响应其他正常访问请求的一种攻击行为。CC攻击防护可以通过对Web业务请求的安全验证，防护网络攻击者对业务服务器发起的CC攻击。 可开启/关闭，默认处于关闭状态。 系统提供两种默认防护级别，无需用户设置防护规则实现快速配置。为了避免误杀，用户也可自定义CC防护规则，限制单个访问者对命中特定匹配条件的访问频率，WAF会根据配置的规则，精准识别CC攻击，并做出拦截、人机验证等动作处理。 当网站服务器资源有限，且存在被CC攻击的情况下建议开启。 开启后可能会影响业务的正常访问流程，建议选择人机验证，从而保证业务的可用性。 精准访问控制 用户可根据客户端IP、请求URL、以及常见的请求头字段定义访问请求的精确匹配条件，以进行过滤，并对命中条件的请求设置放行、拦截、观察或人机验证等操作。 可开启/关闭，默认处于关闭状态。 当业务出现明确需要保护的地址，例如用户名或密码保存的文件路径、以及管理员访问路径，可进行精准访问控制。 IP黑白名单设置 自定义添加IP黑白名单规则，阻断、放行指定IP的访问请求。 白名单优先级高于黑名单优先级，即当会话命中白名单后会被直接放行，不再进行后续的安全检测。 可开启/关闭，默认处于关闭状态。 黑白名单通常与其他防护模块并行使用，通过设置黑白名单，放行安全的访问请求，阻断恶意的访问请求。 BOT防护 WAF提供若干个已知的公开BOT类型，用户可分别设置相应的防护动作。 支持公开类型和自定义会话策略两大类防护策略。同时，用户可自定义防护策略，根据协议特征或者其他会话特征设置判定维度，对命中的请求进行相应的处理。 可开启/关闭，默认处于关闭状态。 BOT防护主要用于防止其他网站对业务网站信息的爬取，当有相关需要时，可以开启该模块。 地域访问控制 通过配置地域访问控制规则，可针对指定国家、地区的来源IP自定义访问控制。 可开启/关闭，默认处于关闭状态。 地域访问控制可以通过拒绝部分地域的访问，例如境外地址的访问，从而阻断掉可能来源于境外的攻击。 防敏感信息泄露 支持对网站返回的内容进行过滤（拦截、脱敏展示），过滤内容包括敏感信息、关键字和响应码。 可开启/关闭，默认处于关闭状态。 当网站返回信息中包括敏感信息时，通过设置防敏感信息泄露规则，可以过滤网站返回内容中的敏感信息（比如身份证号、电话号码等），对敏感信息进行脱敏展示，可以有效防止敏感泄露。 网页防篡改 通过缓存页面和锁定访问请求，可避免页面被恶意篡改而带来的负面影响，对重点静态页面进行保护。 可开启/关闭，默认处于关闭状态。 网页防篡改主要用于防护一些重点的静态页面。 Cookie防篡改 通过对Cookie中的字段增加完整性校验保护，WAF会新增一个Cookie字段用于篡改校验。 可开启/关闭，默认处于关闭状态。 Cookie防篡改主要用于防护Cookie变化较少、对安全性要求较高的网页。 隐私屏蔽 通过设置隐私屏蔽规则，可屏蔽用户隐私信息，避免用户隐私信息出现在系统记录的日志中。 可开启/关闭，默认处于关闭状态。 隐私屏蔽规则主要是屏蔽WAF系统日志中的用户隐私信息，可以从安全运维侧规避用户的隐私泄露风险。

本章节主要介绍如何创建MRS自定义策略。 如果系统预置的MRS权限，不满足您的授权要求，可以创建自定义策略。 目前支持以下两种方式创建自定义策略： 可视化视图创建自定义策略：无需了解策略语法，按可视化视图导航栏选择云服务、操作、资源、条件等策略内容，可自动生成策略。 JSON视图创建自定义策略：可以在选择策略模板后，根据具体需求编辑策略内容；也可以直接在编辑框内编写JSON格式的策略内容。 本章为您介绍常用的MRS自定义策略样例。 MRS自定义策略样例 示例1：授权用户仅有创建MRS集群的权限。 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "mrs:cluster:create", "ecs::", "bms::", "evs::", "vpc::", "smn::" ] } ] } 示例2：授权用户调整MRS集群。 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "mrs:cluster:resize" ] } ] } 示例3：授权用户创建集群、创建并执行作业、删除单个作业，但不允许用户删除集群的权限。 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "mrs:cluster:create", "mrs:job:submit", "mrs:job:delete" ] }, { "Effect": "Deny", "Action": [ "mrs:cluster:delete" ] } ] } 示例4：授权用户最小权限，创建ECS规格的集群。 说明 创建集群时如果使用秘钥对，增加权限：ecs:serverKeypairs:get和ecs:serverKeypairs:list 创集群时使用数据盘加密，增加权限：kms:cmk:list 创建集群时开启告警功能，增加权限：mrs:alarm:subscribe 创建集群时使用外置数据源，增加权限：rds:instance:list { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "mrs:cluster:create" ] }, { "Effect": "Allow", "Action": [ "ecs:cloudServers:updateMetadata", "ecs:cloudServerFlavors:get", "ecs:cloudServerQuotas:get", "ecs:servers:list", "ecs:servers:get", "ecs:cloudServers:delete", "ecs:cloudServers:list", "ecs:serverInterfaces:get", "ecs:serverGroups:manage", "ecs:servers:setMetadata", "ecs:cloudServers:get", "ecs:cloudServers:create" ] }, { "Effect": "Allow", "Action": [ "vpc:securityGroups:create", "vpc:securityGroupRules:delete", "vpc:vpcs:create", "vpc:ports:create", "vpc:securityGroups:get", "vpc:subnets:create", "vpc:privateIps:delete", "vpc:quotas:list", "vpc:networks:get", "vpc:publicIps:list", "vpc:securityGroups:delete", "vpc:securityGroupRules:create", "vpc:privateIps:create", "vpc:ports:get", "vpc:ports:delete", "vpc:publicIps:update", "vpc:subnets:get", "vpc:publicIps:get", "vpc:ports:update", "vpc:vpcs:list" ] }, { "Effect": "Allow", "Action": [ "evs:quotas:get", "evs:types:get" ] }, { "Effect": "Allow", "Action": [ "bms:serverFlavors:get" ] } ] } 示例5：授权用户最小权限，创建BMS规格的集群。 说明 创建集群时如果使用秘钥对，增加权限：ecs:serverKeypairs:get和ecs:serverKeypairs:list 创集群时使用数据盘加密，增加权限：kms:cmk:list 创建集群时开启告警功能，增加权限：mrs:alarm:subscribe 创建集群时使用外置数据源，增加权限：rds:instance:list { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "mrs:cluster:create" ] }, { "Effect": "Allow", "Action": [ "ecs:servers:list", "ecs:servers:get", "ecs:cloudServers:delete", "ecs:serverInterfaces:get", "ecs:serverGroups:manage", "ecs:servers:setMetadata", "ecs:cloudServers:create", "ecs:cloudServerFlavors:get", "ecs:cloudServerQuotas:get" ] }, { "Effect": "Allow", "Action": [ "vpc:securityGroups:create", "vpc:securityGroupRules:delete", "vpc:vpcs:create", "vpc:ports:create", "vpc:securityGroups:get", "vpc:subnets:create", "vpc:privateIps:delete", "vpc:quotas:list", "vpc:networks:get", "vpc:publicIps:list", "vpc:securityGroups:delete", "vpc:securityGroupRules:create", "vpc:privateIps:create", "vpc:ports:get", "vpc:ports:delete", "vpc:publicIps:update", "vpc:subnets:get", "vpc:publicIps:get", "vpc:ports:update", "vpc:vpcs:list" ] }, { "Effect": "Allow", "Action": [ "evs:quotas:get", "evs:types:get" ] }, { "Effect": "Allow", "Action": [ "bms:servers:get", "bms:servers:list", "bms:serverQuotas:get", "bms:servers:updateMetadata", "bms:serverFlavors:get" ] } ] } 示例6：授权用户最小权限，创建ECS和BMS混合集群。 说明 创建集群时如果使用秘钥对，增加权限：ecs:serverKeypairs:get和ecs:serverKeypairs:list 创集群时使用数据盘加密，增加权限：kms:cmk:list 创建集群时开启告警功能，增加权限：mrs:alarm:subscribe 创建集群时使用外置数据源，增加权限：rds:instance:list { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "mrs:cluster:create" ] }, { "Effect": "Allow", "Action": [ "ecs:cloudServers:updateMetadata", "ecs:cloudServerFlavors:get", "ecs:cloudServerQuotas:get", "ecs:servers:list", "ecs:servers:get", "ecs:cloudServers:delete", "ecs:cloudServers:list", "ecs:serverInterfaces:get", "ecs:serverGroups:manage", "ecs:servers:setMetadata", "ecs:cloudServers:get", "ecs:cloudServers:create" ] }, { "Effect": "Allow", "Action": [ "vpc:securityGroups:create", "vpc:securityGroupRules:delete", "vpc:vpcs:create", "vpc:ports:create", "vpc:securityGroups:get", "vpc:subnets:create", "vpc:privateIps:delete", "vpc:quotas:list", "vpc:networks:get", "vpc:publicIps:list", "vpc:securityGroups:delete", "vpc:securityGroupRules:create", "vpc:privateIps:create", "vpc:ports:get", "vpc:ports:delete", "vpc:publicIps:update", "vpc:subnets:get", "vpc:publicIps:get", "vpc:ports:update", "vpc:vpcs:list" ] }, { "Effect": "Allow", "Action": [ "evs:quotas:get", "evs:types:get" ] }, { "Effect": "Allow", "Action": [ "bms:servers:get", "bms:servers:list", "bms:serverQuotas:get", "bms:servers:updateMetadata", "bms:serverFlavors:get" ] } ] }

本文介绍天翼云远程证明服务,包括工作原理、使用方式和计费说明。 概述 天翼云远程证明服务是一个统一的解决方案，可用于验证不同平台（如鲲鹏、海光、intel 、AMD等）的可信度和在该平台中运行的代码的完整性。该服务支持对基于虚拟可信平台模块vTPM（virtual Trusted Platform Module）的平台进行证明，以及对可信执行环境TEE（Trusted Execution Environment）的状态进行证明。 工作原理 基于硬件信任根建立从硬件到软件的可信启动链，并利用该信任根对系统状态生成密码学签名的报告。远端验证者通过验证该报告的完整性和真实性，并与预定义的可信策略进行比对，来达成两个核心目标： 确认平台基于真实的硬件可信根。 确认平台运行了符合预期的软件栈。 使用方式 远程证明服务主要用于对机密云主机和可信云主机进行远程证明，目前仅提供通过OpenAPI进行认证（详细可参见远程证明服务OpenAPI），主要有以下两种使用方式： 方式一： 1. 在可信/机密云主机启动过程中，（虚拟）硬件会度量所涉及的软件并保存度量值； 2. 启动完成后，您可从云主机内调用相关接口获得“证据“，由（虚拟）硬件内密钥所签名的内容（包含度量值）； 3. 您可以将“证据”提交给远程证明服务进行校验。远程证明服务负责取得（虚拟）硬件内密钥所对应的证书，用于校验“证据”确实由对应（虚拟）硬件生成，便验证了平台是基于真实的硬件可信根； 4. 您可以进一步检查“证据”中各字段的值（包含度量值），便验证了平台运行了符合预期的软件栈。 方式二： 1. 您需要制定证据校验策略，并将策略上传至远程证明服务； 2. 在可信/机密云主机启动过程中，（虚拟）硬件会度量所涉及的软件并保存度量值； 3. 启动完成后，您可从云主机内调用相关接口获得“证据“——由（虚拟）硬件内密钥所签名的内容（包含度量值）； 4. 您可以将“证据”提交给远程证明服务进行校验，提交时指定使用哪个策略进行校验。远程证明服务负责取得（虚拟）硬件内密钥所对应的证书，用于校验“证据”确实由对应（虚拟）硬件生成，便验证了平台是基于真实的硬件可信根；策略中包含客户预期的“证据”中各个字段的值（包含度量值），将预期值（基准值）与生成值作对比，便验证了平台是基于真实的硬件可信根。

本文介绍天翼云远程证明服务,包括工作原理、使用方式和计费说明。 概述 天翼云远程证明服务是一个统一的解决方案，可用于验证不同平台（如鲲鹏、海光、intel 、AMD等）的可信度和在该平台中运行的代码的完整性。该服务支持对基于虚拟可信平台模块vTPM（virtual Trusted Platform Module）的平台进行证明，以及对可信执行环境TEE（Trusted Execution Environment）的状态进行证明。 工作原理 基于硬件信任根建立从硬件到软件的可信启动链，并利用该信任根对系统状态生成密码学签名的报告。远端验证者通过验证该报告的完整性和真实性，并与预定义的可信策略进行比对，来达成两个核心目标： 确认平台基于真实的硬件可信根。 确认平台运行了符合预期的软件栈。 使用方式 远程证明服务主要用于对机密云主机和可信云主机进行远程证明，目前仅提供通过OpenAPI进行认证（详细可参见远程证明服务OpenAPI），主要有以下两种使用方式： 方式一： 1. 在可信/机密云主机启动过程中，（虚拟）硬件会度量所涉及的软件并保存度量值； 2. 启动完成后，您可从云主机内调用相关接口获得“证据“，由（虚拟）硬件内密钥所签名的内容（包含度量值）； 3. 您可以将“证据”提交给远程证明服务进行校验。远程证明服务负责取得（虚拟）硬件内密钥所对应的证书，用于校验“证据”确实由对应（虚拟）硬件生成，便验证了平台是基于真实的硬件可信根； 4. 您可以进一步检查“证据”中各字段的值（包含度量值），便验证了平台运行了符合预期的软件栈。 方式二： 1. 您需要制定证据校验策略，并将策略上传至远程证明服务； 2. 在可信/机密云主机启动过程中，（虚拟）硬件会度量所涉及的软件并保存度量值； 3. 启动完成后，您可从云主机内调用相关接口获得“证据“——由（虚拟）硬件内密钥所签名的内容（包含度量值）； 4. 您可以将“证据”提交给远程证明服务进行校验，提交时指定使用哪个策略进行校验。远程证明服务负责取得（虚拟）硬件内密钥所对应的证书，用于校验“证据”确实由对应（虚拟）硬件生成，便验证了平台是基于真实的硬件可信根；策略中包含客户预期的“证据”中各个字段的值（包含度量值），将预期值（基准值）与生成值作对比，便验证了平台是基于真实的硬件可信根。

天翼云函数计算服务（FAAS） 已于2024年12月30日正式商业化，并将按照刊例价收取服务费用。 注意 由于官网费用中心规则限制账户余额100元（按量计费预留金额）以上才可以开通按需计费服务；由此给您带来的不便，请您谅解（函数计算服务为公测期间老用户补偿赠送一套免费资源包）。 首次开通函数计算服务的新用户和公测期间的老用户，都将获赠一套试用资源包；详见 试用资源包 函数计算服务详细的产品介绍，请参考 产品介绍 函数计算服务具体的计费内容，请参考 计费概述 官网费用中心规则：详见费用中心计费说明 感谢您对天翼云函数计算服务（FAAS） 的支持与帮助，我们将持续努力，提供更优质的服务。

本文以安装第三方依赖numpy为例，介绍如何为您的Python代码安装依赖，打包并部署代码至函数计算。 注意 由于函数计算的运行环境是Linux系统，在Windows系统或macOS系统安装numpy依赖库带有跟当前系统相关二进制文件，会导致您的代码包部署到函数计算后运行失败。建议您使用Linux系统进行以下操作。 准备工作 1. 创建一个代码目录，如 myapp。 2. 在 myapp目录下，创建 index.py文件，文件内容如下： coding: utf8 import numpy as np import logging def handler(event, context): a np.arange(6) return a 安装依赖 在 myapp目录下执行 pip3 install numpy t .安装numpy依赖库到当前目录。 部署代码 在 myapp目录下执行zip code.zip r ./命令将代码打包成zip压缩包文件。 在函数计算控制台 找到对应的目标函数，然后在函数详情页面的右上角，点击上传代码 上传zip进行上传刚打包的ZIP文件。

帮助您了解如何新建安全评估服务需求，获取服务序列号。 操作场景 服务序列号用于唯一标识本次安全评估服务，安全服务经理在服务过程中，会向您索要服务序列号，用于标识本次服务已进入服务阶段。 前提条件 已订购安全评估服务。 操作步骤 在安全评估页面，可查看订购记录，可通过新建需求获取服务序列号。 1. 登录托管检测与响应服务（原生版）控制台。 2. 在左侧导航栏，选择“安全评估”，进入安全评估页面。 3. 点击页面右上角的“新建需求”，弹出新建安全评估需求对话框。 4. 配置服务需求相关参数。 服务可用次数：代表您当前可用的安全评估服务总次数。 标题：记录本次服务主要目的。 描述：记录本次服务详细内容。 5. 配置完成后，单击“确定”按钮，即可返回服务需求列表，查看服务序列号。 6. 单击“服务序列号”列的“复制”，即可复制已生成的服务序列号。

高级配置——限流降级配置 部署在K8s集群中的应用支持接入限流降级，并可在限流降级页面中实时监控流量，全面可视化地保障您的应用可用性。 高级配置——注解（Annotation）本地存储 注解可以将元数据附加到应用Pod上用于存储额外的信息，以便工具和库能够获取到有关对象的信息，同时不会影响Pod的运行。 高级配置——Sidecar & InitContainer 配置 为应用配置Sidecar容器可以帮助您运行辅助服务，例如日志收集、配置更新、网络代理。此外，您还可以配置Init Container，帮助您执行一些应用容器启动前的准备工作，例如设置配置文件、下载应用依赖、等待其他服务就绪或迁移数据库。 注意 单个输入框只能配置一个容器。如需配置多个容器，请单击“+添加Sidecar Containers”。 按需填写完以上内容后，点击下一步，进入到预览界面，确认信息无误后，点击创建。 创建成功后，点击查看实例详情按钮，来到实例详情界面，至此制品微服务已经创建完成。如何部署可查看微服务应用部署章节。

本章节为您介绍API风险监测资源模块内容。 资源是指系统审计到的应用、API、文件、账号等信息。 资源是通过识别镜像流量的信息，确认为有效信息后添加到资源列表中。 应用 应用展示从流量中发现的全量应用资源信息，提供多维度的应用资源的描述。 登录API风险监测应用，在左侧导航栏选择“资源 > 应用”即可进入应用管理页面。 说明 应用资源入库，定时任务每小时的30分执行一次。例如：12:30分执行一次入库操作。 修改应用信息 勾选需要修改修改应用的信息，单击“修改”按钮，在弹出的对话框中修改应用信息。 合并应用 勾选两个及以上应用，单击“应用合并”按钮，弹出“应用合并”弹窗，可以选择或输入应用名称以及应用域名，单击“保存”按钮，进行应用合并。 说明 应用合并期间建议不要进行生命周期配置、流量过滤配置、API合并操作。

步骤二：产生对象存储事件 1. 登录对象存储管理控制台。 2. 单击前提条件中您已打开的桶名，点击文件管理，点击上传文件，等待文件上传完成，如图1。 图1 在对象存储管理控制台上传文件 步骤三：查看官方事件源事件示例 1. 登陆事件总线EventBridge管理控制台。 2. 点击default 总线，进入云服务专用事件总线详情页，单击左侧事件源按钮。 3. 单击名为ctyun.zos的事件源，查看事件示例，如图2。 图2 查看对象存储官方事件源的事件列表 步骤四：结果验证 1. 登录分布式消息服务Kafka管理控制台。 2. 在左侧导航栏，单击实例列表，选择目标实例。 3. 在左侧导航栏点击消息查询页面，点击按位点查询，查看事件内容与步骤三中查看的示例是否相符。 图3 查看分布式消息服务Kafka管理控制台中的消息详情

参数 配置说明 目录和文件 支持选择要备份的目录和文件及不要备份的目录和文件。 注意：选择文件备份目录时，需选择非结构化数据（如视频、图片、附件、日志等）文件产生的数据路径。若选择"/"或包含系统文件的系统整盘、系统盘整个分区（如C盘），任务状态会变为停止。如需有系统盘整盘、整个分区的备份需求可选择整机备份方式实现。 镜像设置 校验方式：启用增量备份或差异备份时，当前备份数据与上次备份数据差异比对方式。 错误处理方式 如果源路径包含系统目录和文件，drnode程序可能无法访问某些特定的系统文件。对于这种情况，给出两种解决办法。此选项默认为“遇到错误，立即停止”。 文件打开方式 在镜像阶段，源端打开文件的方式，该选项只适用于Windows平台的工作机。在增量复制阶段，drnode程序不会读取文件内容。 文件安全属性 用户选择是否同步备份文件权限、用户属性等。此选项默认为同步。

本节介绍漏洞管理最佳实践。 1. 进入风险管理漏洞管理页面，为租户提供漏洞查询及处置功能。 2. 支持条件查询，用户输入或选择相关条件内容。 3. 提供处置能力，可直接或批量修改漏洞处置状态。状态枚举值：修复中、已修复、忽略、已加固等。修改处置状态可填写状态变更原因。 4. 进行处置，在漏洞详情中可以历史所有的状态变更记录的信息：处置人、处置状态、处置说明等。 5. 每条漏洞能够关联资产信息，可快速查看关联的资产详情。

本章节主要介绍（可选）管理脚本的批量解锁。 数据开发模块提供了批量解锁脚本的功能，您可参照本节内容对锁定的脚本进行批量解锁。 操作步骤 1. 登录DataArts Studio控制台。选择实例，点击“进入控制台”，选择对应工作空间的“数据开发”模块，进入数据开发页面。 详见下图：选择数据开发 2. 在数据开发主界面的左侧导航栏，选择“数据开发 > 脚本开发”。 3. 单击脚本目录中的，选择“显示复选框”。 详见下图：显示脚本复选框 4. 勾选需要解锁的脚本，单击 > 批量解锁。弹出“解锁成功”提示。 详见下图：批量解锁

本文主要介绍抗D功能。 DDoS防护 支持TCP、UDP网络协议防护，如syn flood ，ack flood，空连接等，通过对数据报文的实时检测和分析，过滤畸形包、判断报文合法性、进行丢弃异常请求，进而高效阻断攻击。 CC防护 CC防护根据访问者的URL、频率、行为等访问特征，快速且智能识别CC攻击并进行拦截，在大规模CC攻击时可以避免源站资源耗尽，保证企业网站的正常访问。 访问控制 可针对IP，IP段，URI，CI，METHOD，请求地区，请求参数，请求头部，请求协议等维度进行组合，设置白名单和黑名单，对请求进行拦截和放行，保证客户网站不受未知访问。 可视化报表 提供可视化报表展示、定时报表服务，可获取攻击事件的攻击趋势图、防护带宽、攻击类型、TOP攻击IP等数据，实时掌握网站安全情况。 告警通知 可设置CC攻击、网络层攻击不同维度攻击的告警，灵活设置攻击告警的阈值、通知地址，告警内容包含攻击事件详情，让客户对攻击事件了如指掌。

本节介绍专属加密服务的优势。 云上使用 专属加密旨在满足用户将线下加密设备能力转移到云上的要求，降低运维成本。 弹性扩容 灵活调整专属加密的数量，满足不同业务的加解密运算要求。 安全管理 专属加密实例设备管理与内容（敏感信息）管理权限分离，用户作为设备使用者完全控制密钥的产生、存储和访问授权，Dedicated HSM只负责监控和管理设备及其相关网络设施。即使Dedicated HSM的运维人员也无法获取到用户的密钥。 权限认证 敏感指令支持分类授权控制，有效防止越权行为。支持用户名口令认证、数字证书认证等多种权限认证方式。 可靠性 专属加密实例之间独享加密芯片，即使部分硬件芯片损坏也不影响使用。 安全合规 Dedicated HSM为您提供专属加密实例，帮助您保护弹性云服务器上数据的安全性和隐私性要求，满足监管合规要求。 应用广泛 Dedicated HSM可提供认证合规的金融加密机、服务器加密机以及签名验签服务器等，灵活支撑用户业务场景。

本小节介绍渗透测试操作类常见问题。 购买天翼云渗透测试业务后如何填写受理单内容？ 客户应如实填写以下信息： 被检测的IP主机信息。 域名备案信息比对，必须为客户本人真实、合法信息。 客户为天翼云托管用户，用户提供域名清单，解析后必须为天翼云主机IP，才可提供渗透测试服务。 客户提供的应用URL描述须写明功能是什么或用途是什么。 业务接口人联系方式，客户需提供一个具有对渗透测试方案及渗透测试过程中出现的问题有决定权的业务接口人联系人。 客户如有安全防护设备，应在渗透测试开始阶段将渗透测试所用的公网IP加入安全防护设备白名单，避免因渗透测试工作带来的告警。（如在渗透测试开始阶段客户未将渗透测试所用的公网IP加入安全防护设备白名单，由此产生的告警及对渗透测试结果的影响，乙方不承担任何责任。） 客户需签订渗透测试授权书。

介绍分布式消息服务RabbitMQ创建虚拟主机操作内容。 背景信息 虚拟主机，用作逻辑隔离，分别管理各自的交换器、队列和绑定，使得应用安全地运行在不同的虚拟主机上，相互之间不会干扰。一个实例下可以有多个虚拟主机，一个虚拟主机里面可以有若干个交换器和队列。生产者和消费者连接分布式消息服务 RabbitMQ 版需要指定一个虚拟主机。 操作步骤 （1）登录管理控制台。 （2）进入RabbitMQ管理控制台。 （3）在实例列表页在操作列，目标实例行点击“管理”。 （4）点击“集群管理”后点击“虚拟主机”到达虚拟主机管理页面，点击“新建”按钮。 （5）点击“新建”后出现以下创建，输入虚拟主机名称后点击确定。 注意：设置虚拟主机名称时，有如下要求： 虚拟主机名称只能包含字母、数字、短划线（）、下划线（）。 虚拟主机名称长度限制在1~64个字符。 虚拟主机创建成功后，Vhost名称不可修改。

云墙配置内容 正常配置入向DNAT映射和出向SNAT映射，启用安全策略进行相关防护。 云防火墙接口配置： 云防火墙业务映射DNAT配置： 云主机访问互联网的SNAT配置以及源路由。 SNAT： 源路由： 云防火墙安全策略配置。 测试结果 未过墙业务C主机正常访问互联网： B业务云主机访问外网正常： A业务正常访问：

本文向您说明文件系统到期后资源状态、提醒/通知规则等内容。 到期时实例状态说明 弹性文件服务的包周期实例在到期当天为全天可用状态，例如某实例在控制台显示到期时间为20240228 10:25:34，在该时刻之后该资源仍然为“可用”状态可放心使用，即到期当天到期时刻后的时间是赠与客户的时间，无须再次支付。 若没有及时充值，在第二天凌晨资源将变为“已过期”状态，不可读写，资源保留期为15天，保留期内未充值将释放资源，不可找回。为避免造成业务中断，请关注资源状态，及时充值。 提醒/通知规则 提醒及通知方式：邮件、短信。 充值成功通知：当用户充值成功后，会发送1次充值成功通知。 资源到期通知：文件系统到期前7天、3天以及到期当天，会分别发送到期提醒。 资源释放通知：文件系统到期后3天、7天，会分别发送资源释放提醒。 资源销毁通知：当用户的文件销毁后，会向用户发送1次销毁通知。

本文汇总了使用弹性负载均衡产品时常见的计费类问题。 共享型负载均衡服务是否可一直免费使用？ 目前共享型负载均衡服务可免费使用，若共享型负载均衡服务有收费计划，将以公告形式进行告知，届时可关注官网公告，收费相关信息以届时公告内容为准。 弹性负载均衡服务的带宽和弹性云主机的带宽是否会重复计费？ 主要取决于客户的业务是否需要弹性云主机的带宽。一般来说，弹性云主机接入弹性负载均衡后，由弹性负载均衡对外提供访问业务。但不排除客户的业务比较特殊，一个弹性云主机有多个对外业务，此时需要弹性云主机自己申请EIP和带宽。 负载均衡冻结后，哪些功能会受影响？ 冻结期间，负载均衡会受以下影响： 1. ELB不再进行流量转发，解冻后流量会逐渐恢复。 2. 健康检查停止，健康检查显示的状态为冻结前一刻的状态，解冻后健康检查会恢复。 3. 监控数据会停止上报，解冻后恢复。

1. 登录弹性云主机，创建用户和组，以test用户为例。 groupadd sftp useradd g sftp s /sbin/nologin test 2. 设置用户密码。 passwd test 3. 设置目录权限。 chown root:sftp /home/test chmod 755 R /home/test mkdir /home/test/upload chown R test:sftp /home/test/upload chmod R 755 /home/test/upload 4. 执行以下命令，编辑sshdconfig文件。 vim /etc/ssh/sshdconfig 注释掉如下信息 Subsystem sftp /usr/libexec/openssh/sftpserver 补充如下内容： Subsystem sftp internalsftp Match Group sftp ChrootDirectory /home/%u ForceCommand internalsftp AllowTcpForwarding no X11Forwarding no 5. 重启云主机，或执行以下命令重启sshd服务。 systemctl restart sshd 6. 在本地主机执行以下命令，远程连接到服务器。 sftp root@ IP地址 连接成功后，您可以使用交互式的sftp命令。 7. 执行以下命令，上传或下载文件、文件夹。 上传文件：put r

本节主要介绍如何在智能视图服务控制台接入下级视图库。 说明 下级视图库接入相关功能暂未开放，如您需使用，请联系客户经理。 添加下级视图库 在设备管理页面点击【添加设备】，设备分类下拉选择【Platform】，接入方式选择【视图】，在视图接入信息部分，接入类型选择【视图库】，下拉选择GA1400凭证（GA1400凭证的详细操作说明可参考【GA1400凭证】），并填写下级平台视图编码、下级平台IP和端口信息。 创建完下级视图库后，可在设备详情页接入信息模块获取下级视图编码，在视图库信息模块获取本级视图编码。 添加订阅 下级视图库平台添加成功后，点击左侧菜单栏【视图服务订阅通知】，在【发出的订阅】页面点击【添加订阅】，支持用户对下级视图平台发起订阅并接收通知内容。

配置内容 提前准备好对应内网服务器的端口服务薄及地址薄等相关对象信息。 服务薄相关配置 登录云墙控制台，进入【对象】→【服务薄】→【服务】，可直接引用内置或新建。 地址薄准备 登录云墙控制台，进入【对象】→【地址薄】。 单击“新建”，新建地址薄，输入名称和地址信息即可。 配置源/目的NAT策略配置 放行策略配置完成，需针对业务进行访问控制隔离配置，首先配置出站SNAT策略。 1. 打开菜单栏，【策略→NAT→源NAT】，新建策略。 2. 打开菜单栏，【策略→NAT→目的NAT】，单击“新建 > 高级配置”，新建策略。 参数 说明 源地址 依据真实业务确认是否限制源地址。 目的地址 防火墙网卡地址。 服务 业务需放行端口策略，调用服务簿。 转换为IP 业务主机真实网卡地址。

本节介绍iBox边缘盒子的产品规格相关内容。 产品规格表 产品规格 iBox边缘盒子（标准版） iBox边缘盒子（园区版） iBox边缘盒子（城管版） ::: 硬件配置 峰值算力：21TOPS，6core NVIDIA Carmel ARM@ v8.2 64bit，384core NVIDIA VoltaTM； GPU内存：8G； 存储空间：16G eMMC + 128G SSD； 支持16路视频流 峰值算力：10.6 TOPS； CPU：8核 ARM A53 @2.3GHz； 内存：6 GB； 存储空间：32GB； 支持8路分析 峰值算力：10.6 TOPS； CPU：8核 ARM A53 @2.3GHz； 内存：6 GB； 存储空间：32GB； 支持6路分析 软件功能 异常报警；事件管理；实时预览 异常报警；事件管理；实时预览 异常报警；事件管理；实时预览 硬件清单 硬件：iBox边缘盒子 硬件：iBox边缘盒子 硬件：iBox边缘盒子 软件清单 软件：iBox视频平台软件授权 软件：iBox视频平台软件授权 软件：iBox视频平台软件授权 算法清单园区版 算法清单城管版

发布事件 示例代码如下： plaintext package main import ( "context" cloudevents "github.com/cloudevents/sdkgo/v2" "github.com/cloudevents/sdkgo/v2/protocol/http" "github.com/google/uuid" "log" "time" ) func main() { ak : "xxx" sk : "xxx" target : " // CloudEvent client c, err : cloudevents.NewClientHTTP() if err ! nil { log.Fatalf("failed to create client, %v", err) } //事件内容 event : cloudevents.NewEvent() event.SetID(uuid.New().String()) event.SetSource("ctyun.oss") event.SetType("oss:createbucket") event.SetSubject("ctyun.oss:huadong1:1234567891234:bucketnamexxx") event.SetExtension("ctyuneventbusname", "mybus") event.SetExtension("ctyunaccountid", "5d4ce56axxxxxxxx92ac5884") event.SetExtension("logproject", "111111111111") event.SetTime(time.Now()) event.SetDataContentType("application/json;charsetutf8") event.SetData(cloudevents.ApplicationJSON, map[string]interface{}{ "aaa": 1234, "bbb": "Hello, World!", }) request : NewRequest() request.Method String("POST") request.Pathname String("/api/v1/putEvents") request.Headers map[string]string{ "contenttype": String("application/json"), } stringToSign : GetStringToSign(request) token : "ceb:" + ak + ":" + StringValue(GetSignature(stringToSign, String(sk))) // Set a target. ctx : cloudevents.ContextWithTarget(context.Background(), target) header : map[string][]string{"authorization": {token}} ctx http.WithCustomHeader(ctx, header) // Send that Event. result : c.Send(ctx, event) log.Printf("result: %v", result) }

本章节主要介绍（可选）管理作业的批量解锁。 数据开发模块提供了批量解锁作业的功能，您可参照本节内容对锁定的作业进行批量解锁。 操作步骤 1. 登录DataArts Studio控制台。选择实例，点击“进入控制台”，选择对应工作空间的“数据开发”模块，进入数据开发页面。 详见下图：选择数据开发 2. 在数据开发主界面的左侧导航栏，选择“数据开发 > 作业开发”。 3. 单击作业目录中的，选择“显示复选框”。 详见下图：显示作业复选框 4. 勾选需要解锁的作业，单击 > 批量解锁。弹出“解锁成功”提示。 详见下图：批量解锁

本文解答如果受到恶意攻击，产生的流量和请求数是否收费的问题。 受到恶意攻击说明 当您的域名受到恶意攻击或者网站被盗刷时，易产生突发的超出日常使用的带宽及流量，而由于这部分流量及带宽实际消耗了天翼云全站加速的带宽资源，所以需要您自行承担因此产生的流量、带宽、请求数的费用。 全站加速防护能力说明 天翼云全站加速是面向公共的内容加速服务，不承担防止网络攻击的义务。当前仅具备基础的访问控制等防护能力，包括：IP黑/白名单、Referer防盗链、UA黑/白名单、URI黑/白名单、URL鉴权配置、全网带宽控制及有序回源等，不具备高阶的安全防护能力，无法防护所有的攻击行为。 如果您的加速域名有被攻击风险或正在遭受攻击，建议购买天翼云的边缘安全加速平台产品保证域名的正常使用。详情请见：高额账单风险说明。

参数 参数说明 取值样例 授权规则名称 自定义资产访问授权的规则名称。 Test 启用状态 选择该授权规则的启用状态，默认启用。 用户 （可选）选择需要配置访问授权的用户。 用户组 （可选）选择需要配置访问授权的用户组。 若您选择的用户和用户组存在重合，默认取最大的合集。 资产 （可选）选择需要配置访问授权的资产。 资产组 （可选）选择需要配置访问授权的资产组。 若您选择的资产和资产组存在重合，默认取最大的合集。 资产账号 （可选）选择资产授权规则中允许使用的资产账号，添加资产账号请参见： 协议 选择该授权规则支持访问的协议。 SSH RDP允许项 仅 协议 选择为“RDP”、“VNC”时可勾选，可选是否可以通过RDP、VNC协议复制黏贴内容或上传下载文件。 全选 授权时间 选择该规则生效的时间段。