本章节从整体上介绍应用服务网格CSM全链路灰度功能 微服务架构中往往存在多个服务，多数场景下，在做业务灰度时整个调用链中也会有不止一个服务，通过应用服务网格全链路灰度功能可以实现对整个调用链统一的灰度控制。 应用服务网格全链路灰度中的架构包括ingress gateway（入口网关）以及微服务（如下图中的app1、app2、app3）,通过全链路灰度可以实现对app1、app2、app3统一的灰度控制。 应用服务网格全链路灰度中的相关概念说明如下： ingress gateway：服务网格入口网关，实现网格内微服务对外暴露，并提供微服务入口应用的灰度控制能力。 泳道组：可以类比作游泳池，微服务是泳池中的游泳者。 泳道：可以类比做泳池中的泳道，泳道之间相互隔离；微服务可以根据版本的不同分散在不同的泳道游泳。

本章节主要介绍kubernetes服务详情中的版本管理功能 概览 本章节主要介绍kubernetes服务详情中的版本管理，在该页面可以配置服务的版本标签名称 说明 版本标签指的是同一个服务下用于区分不同工作负载的标签key集合 当修改了版本标签后，会同步修改当前服务相关的目标规则下子集的标签名称。在页面下方，可以查看服务相关的目标规则的子集列表，针对每个子集，用户可以进行标签的增加、编辑和删除操作。 操作步骤 配置版本标签步骤 1. 登录应用应用服务网格控制台，单击应用服务网格实例的名称，进入网格详情页面 2. 在左侧导航栏选择“集群与工作负载 ”，单击“kubernetes服务管理” 3. 点击右上角下拉框选择服务所在的命名空间 4. 点击服务的名称，进入服务详情页面 5. 点击服务详情页面的“版本管理”标签 6. 点击“配置版本标签”按钮 7. 在版本标签配置弹窗中，可以新增标签、编辑标签以及删除标签 8. 点击“确定”按钮进行保存 注意 该操作会同步修改当前服务下所有目标规则的子集定义的标签名称，新增的版本标签不受影响 配置目标规则子集步骤 1. 登录应用应用服务网格控制台，单击应用服务网格实例的名称，进入网格详情页面 2. 在左侧导航栏选择“集群与工作负载 ”，单击“kubernetes服务管理” 3. 点击右上角下拉框选择服务所在的命名空间 4. 点击服务的名称，进入服务详情页面 5. 点击服务详情页面的“版本管理”标签 6. 点击“请选择目标规则”下拉框，选择需要配置的目标规则，可以查看所选目标规则的名称、命名空间以及host 7. 单击“添加服务版本”，可新增一个新的服务版本，一个服务版本相当于目标规则的一个子集 8. 在服务版本的表单中，可以编辑版本名称以及标签 9. 单击右上角“保存”，即可修改对应的目标规则

本节主要介绍云存储网关的功能特性。 接口适配 支持SAN网络存储类型，即通过标准iSCSI协议支持块存储。 访问加速 采用分布式双控架构，提升读写性能，延迟极低。同时也实现了本地缓存和云端存储的冷热数据分离，提高了数据访问速度。 统一管理 提供统一管理功能，支持单机和集群部署，并可以集中管理服务器和存储卷。 支持系统监控和报警，可以监控服务器CPU、内存、数据读写速度等信息，系统运行异常时立即发出告警。 自动部署 支持部署在通用硬件服务器上，支持一键自动化软件部署、滚动升级，运维简单、易用、高效。 通过在线增加服务器或者磁盘进行扩容，且在扩容过程中，不影响用户业务，数据平滑迁移。 数据保护 支持多副本和纠删码数据冗余保护机制，可以提高空间的利用效率并获得较好的数据保护效果，保证了海量数据的存储可靠性和持续可用性。 支持数据完整性校验、传输加密，确保数据安全可靠，同时利用了OOS独有的原子操作，能够真正确保云上数据的一致性。 上云能力 支持多种数据上云方式，本地既可只缓存热数据，又可以保留全量数据，数据自动同步到云端，实现存储空间弹性扩展。 云存储网关功能特性 功能模块 功能特性 :: 安装部署 支持单机版、集群版部署具备安装、初始化、密码修改、升级、卸载功能。 基础服务 卷：创建、查询、删除、启用、禁用、扩容、修改。 基础服务 iSCSI Target：创建、查询、删除、修改。 基础服务 服务器：添加、查询、移除、修改、启动、停止、重启、还原。 基础服务 数据目录：添加、移除。 系统设置 邮件通知：启用、禁用、查询、删除。 系统设置 远程协助：启用、禁用、查询、删除。 系统设置 备份配置：启用、禁用、查询、删除、执行备份。 系统设置 系统信息：查询部署信息、状态信息、版本信息。 监控 CPU使用率、内存使用率、各数据目录的磁盘使用率和使用量、数据传输情况（当天写入量，当前读取量，当天写请求成功率，当天读请求成功率，累计写入量，累计读取量）。

使用持久存储卷 本地持久存储卷支持使用StorageClass动态创建PVC，StorageClass名称为csilocaltopology。csilocaltopology的行为相比csidisk等他类型StorageClass有较大差异，使用csilocaltopology行为如下。 添加了本地持久存储卷的节点会自动加上node.kubernetes.io/localstoragepersistent的标签。如果Pod使用csilocaltopology类型的PVC，调度器会将Pod调度到拥有node.kubernetes.io/localstoragepersistent标签的节点上，也就是拥有本地持久存储卷的节点上。 单独创建PVC，PVC创建后，状态会一直为Pending，不会立即创建PV。等有Pod使用PVC，调度器将Pod调度到节点后，everest再创建localpv所需的逻辑卷，并返回PV，PVC完成与PV的绑定。待挂载成功后，Pod启动。 创建应用时选择动态创建PVC，此时动态创建PVC后，调度器将Pod调度到节点，everest再创建逻辑卷，并返回PV，PVC完成与PV的绑定。待挂载成功后，Pod启动。 删除应用时，可选择不删除使用的PVC。这样在下一次创建应用时可以使用使用过的PVC，这样Pod会被调度到PVC关联的节点上。 apiVersion: v1 kind: PersistentVolumeClaim metadata: name: pvclocalexample namespace: default spec: accessModes: ReadWriteOnce 必须为ReadWriteOnce resources: requests: storage: 10Gi 本地持久存储卷大小 storageClassName: csilocaltopology StorageClass类型为csilocaltopology 使用临时存储卷 创建工作负载时，EmptyDir的磁盘介质选择为LocalVolume，表示使用临时存储卷。 apiVersion: apps/v1 kind: Deployment metadata: name: nginx namespace: default spec: replicas: 2 selector: matchLabels: app: nginx template: metadata: labels: app: nginx spec: containers: name: container1 image: nginx:alpine resources: requests: cpu: 250m memory: 512Mi limits: cpu: 250m memory: 512Mi volumeMounts: name: vol164284390917275733 mountPath: /tmp imagePullSecrets: name: defaultsecret volumes: name: vol164284390917275733 emptyDir: medium: LocalVolume

本章节主要介绍ALM29005 Impalad JDBC连接数超过阈值的告警。 告警解释 以30s为周期检测连接到该Impalad节点的客户端连接数，当检测到的连接数超过自定义阈值（默认60）时，系统产生此告警。 当系统检测到客户端连接数减少到阈值以下时，告警将自动解除。 告警属性 告警ID 告警级别 是否自动清除 29005 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称 服务名 产生告警的服务名称 角色名 产生告警的角色名称 主机名 产生告警的主机名 Trigger Condition 系统当前指标取值满足自定义的告警设置条件 对系统的影响 后续新建立客户端连接可能会阻塞甚至失败。 可能原因 该Impalad服务维护的客户端链接过多，或者阈值设定的太小。 处理步骤 1. 在FusionInsight Manager首页，选择“运维 > 告警 > 阈值设置 > Impala > 连接数 > 已经连接到Impalad进程的JDBC数量” ，检查设置的阈值大小。 2. 检查连接到当前Impalad的JDBC应用数，并关闭闲置的应用，观察告警是否自动清除。 是，处理完毕。 否，执行步骤3，修改并发客户端连接数。 3. 在FusionInsight Manager首页，选择“集群 > Impala > 配置 > 全部配置 > Impalad > 自定义”，增加自定义参数 feservicethreads，该参数默认值64，请按照需要修改该值，单击“保存”按钮保存配置。 4. 在所有客户端的查询任务都执行完成后，选择“实例”页签，勾选所有“Impalad”实例并重启。 5. 重启完成后告警将消失，请重新运行使用JDBC方式连接Impalad的应用。

本章节主要介绍ALM29006 Impalad ODBC连接数超过阈值的告警。 告警解释 以30s为周期检测连接到该Impalad节点的客户端连接数，当检测到的连接数超过自定义阈值（默认60）时，系统产生此告警。 当系统检测到客户端连接数减少到阈值以下时，告警将自动解除。 告警属性 告警ID 告警级别 是否自动清除 29006 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称 服务名 产生告警的服务名称 角色名 产生告警的角色名称 主机名 产生告警的主机名 Trigger Condition 系统当前指标取值满足自定义的告警设置条件 对系统的影响 后续新建立客户端连接可能会阻塞甚至失败。 可能原因 该Impalad服务维护的客户端连接过多，或者阈值设定的太小。 处理步骤 1. 在FusionInsight Manager首页，选择“运维 > 告警 > 阈值设置 > Impala > 连接数 > 已经连接到Impalad进程的ODBC数量" ，检查阈值大小。 2. 检查连接到当前Impalad进程的ODBC应用数，并关闭闲置的应用，观察告警是否自动清除。 是，处理完毕。 否，执行步骤3，修改并发Impalad支持的并发连接数。 3. 在FusionInsight Manager首页，选择“集群 > Impala > 配置 > 全部配置 > Impalad > 自定义”，增加自定义参数 feservicethreads，该参数默认值64，请按照需要修改该值，单击“保存”按钮保存配置。 4. 在所有客户端的查询任务都执行完成后，选择“实例”页签，勾选所有“Impalad”实例并重启。 5. 重启完成后告警将消失，请重新运行使用ODBC方式连接Impalad的应用。

步骤三：清除资源 为了防止您为不需要的服务付费或影响其他虚拟私有云及网络服务的使用，建议您删除堆栈，清理资源。 步骤 1 登录AOS控制台。 步骤 2 在左侧导航栏中，单击“我的堆栈”。 步骤 3 勾选已创建成功的应用堆栈，单击“删除堆栈”，根据界面提示删除堆栈。

参数 介绍 ALL 向所有值应用此聚合函数。 ALL 为默认参数。 DISTINCT 指定 CHECKSUMAGG 返回唯一值的校验和。 expression 整数表达式。

软件资产的合规管控 服务器上运行着各种应用系统，应用系统由不同的开发框架、中间件和开发类库等组成。在企业的安全管理规范下，实施黑名单管控机制，有些框架、中间件不可使用。 使用服务器安全卫士的资产清点分级视图，找出不合规的软件资产。如Nginx版本号小于<1.10.3属于不合规版本。 快速定位受影响的资产 新的漏洞出来以后，没有PoC检测，也没有漏洞的编号，如何在企业范围内查找受影响的资产范围，即定位该漏洞的影响范围。 通过资产清点查找受影响的资产范围，进一步查询该资产的管理员信息，进行下一步处置动作。

步骤 3：安装引导 Windows 支持三种安装方式：命令安装、安装包安装、命令+安装包安装。 【命令安装】 适用于批量安装（需支持 PowerShell 组件）。 选择 Agent 安装到的目录位置（默认为：C:Program FilesTitanAgent），选择命令执行的应用（CMD 或 Powershell），在应用中以管理员权限运行命令，即可安装 Agent。 【安装包安装】 适用于单台安装，用户可使用操作界面安装。 需下载安装包，按照安装流程操作，填入安装程序所需的"安装参数"，点击"安装"，即可安装 Agent。 【安装包+命令】 适用于批量安装，安装包分发到各主机，批量执行命令。 需下载安装包，输入安装包所在位置和 Agent 安装到的目录位置（默认为： C:Program FilesTitanAgent），才可生成安装命令；生成命令后，在 cmd 中以管理员权限运行命令，即可安装 Agent。

分类 云产品 支持审计的关键操作列表 安全及管理 Web应用防火墙（原生版） 安全及管理 密钥管理 安全及管理 数据库审计 安全及管理 云审计 安全及管理 云安全中心 安全及管理 云等保专区 安全及管理 服务器安全卫士（原生版）

适用场景 应用：大规模并行处理(MPP) 数据仓库，MapReduce和Hadoop分布式计算，大数据计算 。 场景特点：适合处理海量数据、需要高I/O能力，要求快速数据交换和处理的场景。 使用场景：分布式文件系统 ，网络文件系统、日志或数据处理应用。 规格 规格名称 vCPU 内存（GiB） 最大带宽/基准带宽（Gbps） 最大收发包能力（万PPS） 网络连接数（万） 网卡多队列数 网卡个数上限 辅助网卡个数上限 本地盘（GiB） 虚拟化类型 d7.xlarge.4 4 16 5/1.7 60 50 2 3 32 2 × 3600 KVM d7.2xlarge.4 8 32 10/3.5 120 100 4 4 64 4 × 3600 KVM d7.4xlarge.4 16 64 20/6.7 240 150 4 6 96 8 × 3600 KVM d7.6xlarge.4 24 96 25/10 350 200 8 8 128 12 × 3600 KVM d7.8xlarge.4 32 128 30/13.5 450 300 8 8 192 16 × 3600 KVM d7.12xlarge.4 48 192 40/20 650 400 16 8 256 24 × 3600 KVM d7.16xlarge.4 64 256 42/27 850 500 16 8 256 32 × 3600 KVM

为了极致的使用体验,本文为您介绍可以访问公网的产品。 公有云提供弹性公网IP（EIP）、NAT网关、弹性负载均衡（ELB）等方式连接公网。 EIP EIP提供独立的公网IP资源，包括公网IP地址与公网出口带宽服务。可以与弹性云服务器、裸金属服务器、虚拟IP、弹性负载均衡、NAT网关等资源灵活地绑定及解绑。拥有多种灵活的计费方式，可以满足各种业务场景的需要。 ELB ELB将访问流量自动分发到多台弹性云服务器，扩展应用系统对外的服务能力，实现更高水平的应用容错。为负载均衡器配置需要监听的端口信息以及弹性云服务器，通过监听器来检查后端弹性云服务器的运行状态，确保将请求发送到正常的弹性云服务器上，提高系统可用性。 NAT网关 NAT网关能够为VPC内的弹性云服务器提供SNAT和DNAT功能，通过灵活简易的配置，即可轻松构建VPC的公网出入口。

参数说明 说明 计算公式 定义业务指标的计算逻辑，以便指导开发者根据计算公式设计原子指标、衍生指标。业务指标是为了指导技术指标的落地，实际并不做运算。 统计周期 指定指标的统计周期，以便指导开发者根据统计周期设计时间限定。 统计维度 可以在下拉列表中选择已经创建的维度。维度的创建请参见 统计口径和修饰词 限定是对业务场景限定抽象，用于度量范围的圈定。 刷新频率 指标数据的刷新频率。开发者或运维者可以依据指标的刷新频率，合理设置衍生指标的调度频率。 指标应用场景 描述指标的应用场景。 关联技术指标类型 下拉选择与业务指标关联的技术指标类型，包含衍生指标和复合指标。 关联技术指标 下拉选择与业务指标关联的技术指标。 度量对象 衡量该指标的度量字段。 计量单位 指标的计量单位。

本文介绍通过回调信息获取录制和截图文件的地址。 录制文件 通过录制回调参数中的【VideoUrl】参数即可获取录制文件的存储路径。默认录制回调参数如下所示： 参数名 类型 说明 UniqName string 客户标识 StreamId string 流名 AppName string 应用名 FileFormat string 录制文件格式，支持hls，mp4，flv，aac StartTime string 录制文件开始时间，Unix 时间戳格式，例如：1653901448 EndTime string 录制文件结束时间，Unix 时间戳格式，例如：1653901448 Duration string 录制文件持续时间，单位为s（秒） FileSize int 录制文件大小，单位B VideoUrl string 录制文件路径 截图文件 通过截图回调参数中的【PicUrl】参数即可获取截图文件的存储路径。默认截图回调参数如下所示： 参数名 类型 说明 UniqName string 客户标识 StreamId string 流名 AppName string 应用名 FileFormat string 截图文件格式，支持jpg，png StartTime string 截图时间，Unix 时间戳格式，例如：1653901448 FileSize int 截图文件大小，单位B Width string 截图文件宽，单位像素 Height string 截图文件高，单位像素 PicUrl string 截图文件路径

本文介绍如何通过ELB接入方式将网站接入WAF进行防护。 Web应用防火墙（原生版）支持接入负载均衡（ELB）实例，您可以为使用HTTP或HTTPS监听协议的ELB监听器开启WAF防护。WAF对进入监听器的应用层流量进行检测（不参与流量转发），您可根据自身应用需求设置相应的防护规则。 前提条件 该功能当前处于试用阶段，如需试用请通过天翼云控制台提工单进行申请。 已购买WAF云SaaS型实例，且实例版本为标准版及以上版本。 实例支持防护的ELB监听器个数未超过配额限制，各个版本支持的配额请参见产品规格。 约束限制 目前仅支持防护性能保障型的负载均衡实例，不支持经典型实例。 目前仅支持为HTTP/HTTPS监听器开启安全防护。 目前仅支持防护“武汉41”区域的ELB监听器。 在WAF控制台开启防护 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 进入到WAF控制台，在左侧导航栏选择“接入管理”，选择“云产品接入”页签。 5. 单击“添加防护对象”进入添加防护对象页面，配置防护对象参数。 配置项 说明 ELB（负载均衡器） 单击“选择ELB（负载均衡器）”，弹出当前所在区域的ELB实例列表，找到目标ELB，单击操作列的“选择”。 监听器 单击“选择监听器”，弹出所选ELB实例下的监听器列表，找到目标监听器，单击操作列的“选择”。 说明 仅支持选择监听协议为HTTP 、HTTPS的监听器。 防护对象名称 防护对象的名称，默认为“ELB名称 :监听器名称”，支持自定义。 域名 （可选）填写所选监听器下的域名，可添加精确域名和泛域名： 精确域名：支持多级别精确域名，例如主域名ctyun.cn、子域名www.ctyun.cn等。 泛域名：支持使用泛域名格式，例如.ctyun.cn可以匹配www.ctyun.cn、test.ctyun.cn。 说明 使用泛域名后，WAF将自动匹配该泛域名对应的所有子域名，例如，.ctyun.cn能够匹配www.ctyun.cn、test.ctyun.cn等。 泛域名不支持匹配对应的主域名，例如.ctyun.cn不能匹配ctyun.cn。 如果同时存在精确域名和泛域名，则精确域名的转发规则和防护策略优先生效。 备注 （可选）防护对象的描述信息，可以自定义。 6. 配置完成后单击“确定”，返回云产品接入页面。 说明 ELB监听器接入WAF后，WAF防护开关默认“开启”，暂不支持在WAF控制台关闭防护。

本文介绍WAF针对DeepSeek安全防护场景提供的Web防护方案。 背景介绍 随着人工智能技术的快速发展，很多企业选择在GPU云主机或GPU裸金属上搭建DeepSeek私有化服务，在这个过程中，用户不仅享受到了强大的AI算力资源，同时也面临着复杂的网络威胁，如DDoS攻击、SQL注入、跨站脚本（XSS）等。 为了保障AI算力资源、训练数据及服务API链路的安全性，部署Web应用防火墙成了必不可少的安全举措。Web应用防火墙支持多种定制化的安全防护策略，帮助企业有效应对各种网络威胁，确保DeepSeek服务的稳定运行，保障DeepSeeK安全性。 DeepSeek安全防护场景示意图 在DeepSeek Web安全防护场景中，用户的DeepSeeK服务部署在GPU云主机或GPU裸金属上，WAF作为前端的安全网关，负责过滤所有进入的流量。通过WAF的定制化规则和先进的内容检测引擎，恶意流量被有效拦截，确保AI算力资源和训练数据的安全。 安全风险及应对方案 风险名称 风险描述 WAF应对方案 相关文档 Web UI漏洞 Open WebUI 0.1.105版本存在文件上传漏洞，ComfyUI多个插件存在安全漏洞。部署大模型过程中，通常会使用大模型自带的WebUI组件，开源的Web UI组件以及老旧的版本，为大模型的部署和应用带来了巨大的入侵风险。 开启WAF的Web攻击防护功能，为Web UI提供必要的安全防护能力。 Web基础防护 企业敏感信息泄露 企业利用私有数据进行数据训练时，私有数据可能包含商业敏感信息，存在数据泄露风险。 根据企业机密信息内容，通过WAF精准访问控制功能，对敏感信息进行检测拦截，保障企业数据安全。 精准访问控制 大模型输入输出内容违规 私有化大模型输入输出内容可能涉及政治、赌博、色情、违法犯罪等违规内容，影响企业声誉。 通过WAF敏感信息防泄漏功能，自动屏蔽违规内容，保障企业声誉安全。 防敏感信息泄露 应用层CC攻击及API互联网暴露风险 由于多用户同时使用或单用户对大模型API接口的频繁调度导致大模型token被大量占用，服务器繁忙无法为用户提供正常服务；大模型API接口的暴露，会为用户的API接口带来安全风险。 采用WAF的CC防护限速功能，保证大模型连续可用性；建设API安全监测与分析能力，降低因API漏洞造成的安全风险。 CC防护 API安全

参数名 数据类型 应用类型 默认值 Agent支持的起始版本 Agent支持的终止版本 描述 获取连接调用链上报时间阈值(ms) integer JAVA 1 2.1.0 getConnection方法调用链上报阈值，不超过该阈值不上报。 getConnection时是否获取池内信息 radio JAVA false 2.1.0 getConnection时是否获取池内信息。

参数名 数据类型 应用类型 默认值 Agent支持的起始版本 Agent支持的终止版本 描述 获取连接调用链上报时间阈值(ms) integer JAVA 1 2.1.3 getConnection方法调用链上报阈值，不超过该阈值不上报。 getConnection时是否获取池内信息 radio JAVA false 2.1.3 getConnection时是否获取池内信息。

参数名 数据类型 应用类型 默认值 Agent支持的起始版本 Agent支持的终止版本 描述 日志异常是否认为调用链异常 radio JAVA true 2.0.0 采集到了日志异常之后,是否将所属调用链数据标记为异常。 是否在日志中打印traceId radio JAVA false 2.3.19 是否在日志中打印traceId。

本章节主要介绍Kubernetes服务管理中的流量管理功能，包括路由策略、负载均衡以及本地限流 路由策略 本节主要介绍服务流量管理中的路由策略功能，对于访问特定服务的流量，可以通过虚拟服务来定义一组流量路由规则，如果流量匹配规则定义的条件，则会将其转发至目标服务 操作步骤 1. 登录应用应用服务网格控制台，单击应用服务网格的名称，进入网格详情页面 2. 在左侧导航栏选择“集群与工作负载 ”，单击“kubernetes服务管理” 3. 点击右上角下拉框选择服务所在的命名空间 4. 点击服务的名称，进入服务详情页面 5. 点击服务详情页面的“流量管理”标签 6. 点击流量管理页面下的“路由策略”标签 7. 点击“使用YAML创建”，选择相关的场景模板，在YAML文本框中中，按实际情况修改虚拟服务的配置信息，点击确定即可创建 负载均衡 本节主要介绍服务流量管理中的负载均衡功能，您可以通过目标规则来指定负载均衡，请求流量经过路由后能够按照目标规则的负载均衡策略来分配至服务实例 操作步骤 1. 登录应用应用服务网格控制台，单击应用服务网格的名称，进入网格详情页面 2. 在左侧导航栏选择“集群与工作负载 ”，单击“kubernetes服务管理” 3. 点击右上角下拉框选择服务所在的命名空间 4. 点击服务的名称，进入服务详情页面 5. 点击服务详情页面的“流量管理”标签 6. 点击流量管理页面下的“负载均衡”标签 7. 创建负载均衡策略 说明 方式一：点击“使用YAML创建”，选择相关的场景模板，在YAML文本框中中，按实际情况修改目标规则的配置信息，点击确定即可创建 方式二：点击“创建”，配置相关表单信息，点击“预览”可查看生成后的目标规则YAML，点击确定即可创建 本地限流 本节主要介绍服务流量管理中的本地限流功能，在业务流量突增的场景下，为了保护服务不被冲垮，一般会采用限流实现对应用服务进行保护

本节介绍如何在主机资产页面管理终端。 管理终端 用户可在主机资产页面查看所有绑定该中心的主机信息，包括名称、分组、标签、IP、操作系统、终端版本等，并可查看终端详情、编辑终端、查看策略等操作。 查看终端详情 1. 登录大模型安全卫士实例。 2. 在菜单栏选择“资产中心 > 主机资产”，进入主机资产页面。 3. 选择需要查看的主机终端（须确保终端为在线状态），点击终端名称或者点击操作项 中的“查看”。 4. 进入终端详情页面，即可查看该主机终端的详细信息，并可进行远程重启主机、关闭主机及修改远程端口操作。 终端概况说明如下： 终端信息 说明 终端详情 对终端进行详细信息展示：包括网络信息、环境信息、其他信息等；并支持远程关闭主机、重启主机、停止防护等操作。 监听端口 对终端上的端口情况进行实时监控。 运行程序 对终端上的进程运行情况进行实时监控，并支持远程结束相关进程。 账号信息 对终端上的所有账号信息进行统计。 运行应用 对终端上运行的软件应用信息进行统计。 性能监控 对终端上的内存、CPU、磁盘、网络IO进行监控统计。 临时封锁IP 对终端上因为防暴力破解和防端口扫描而引发的临时封锁IP进行管理。 注册表启动项 对终端上所有的注册表启动项进行统计和管理。 Web框架 对终端上运行的Web框架进行统计。 Web服务 对终端上运行的Web服务进行统计。 数据库 对终端上运行的数据库进行统计。 Web应用 对终端上运行的Web应用进行统计。 在线统计 对终端的在线时间进行统计。 安装软件 对终端安装包名、版本号、类型、发布者、安装时间等进行统计。 Jar包 对终端安装所关联的jar包进行统计。 计划任务 对终端被制定了哪些计划任务进行统计。 环境变量 对终端的环境变量进行统计。 内核模块 对终端内核模块名称、版本号、模块路径和大小、模块依赖等进行统计。 Windows证书 对终端的各种证书进行统计。

本文将指引您搭建一个IPv6网段的VPC，并在VPC中创建一个带有IPv6地址的集群和节点，使节点可以访问Internet上的IPv6服务。 简介 IPv6的使用，可以有效弥补IPv4网络地址资源有限的问题。如果当前集群中的工作节点（如ECS）使用IPv4，那么启用IPv6后，工作节点可在双栈模式下运行，即工作节点可以拥有两个不同版本的IP地址：IPv4地址和IPv6地址，这两个IP地址都可以进行内网/公网访问。 使用场景 如果您的应用需要为使用IPv6终端的用户提供访问服务，则您可使用：IPv6弹性公网IP或IPv6双栈。 如果您的应用既需要为使用IPv6终端的用户提供访问服务，又需要对这些访问来源进行数据分析处理，则您必须使用IPv6双栈。 如果您的应用系统与其他系统（例如：数据库系统）、应用系统之间需要使用IPv6进行内网访问，则您必须使用IPv6双栈。 使用IPv6双栈请参考IPv4/IPv6双栈网络、IPv6弹性公网IP。 搭建IPv4/IPv6双栈集群步骤 步骤 1 创建虚拟私有云，且创建已开启了IPv6的子网。若没有，则参考创建虚拟私有云和子网。 1. 创建VPC时需开启IPV6 2. 创建子网并开启IPV6 步骤 2 创建集群 1. 登录CCE控制台，在右上角中选择“创建集群”。 2. 网络配置请按如下设置，其余配置可参考订购集群： 虚拟私有云：选择已开启IPV6的VPC。 所在子网：仅支持选择已开启了IPv6的子网。 启用IPV6：选择开启，开启后将支持通过IPv6地址段访问集群资源，包括节点，工作负载等。 Pod子网：仅支持选择已开启了IPv6的子网。 Service CIDR：容器网段要设置合理的掩码，掩码决定集群内可用节点数量。集群中容器网段掩码设置不合适，会导致集群实际可用的节点较少。 Service CIDRV6：该网段决定了支持 IPv6 地址的 Service 资源的上限，创建后不可修改，默认为fc00::/112。如需自定义该网段，需要满足以下要求，详情请参考如何设置Service CIDRV6网段： Service CIDRV6网段需属于fc00::/8网段内。 IPv6地址前缀长度范围为112120，您可以通过调整前缀数值，调整地址个数，地址数最多可支持65536个

本节介绍云等保专区产品的日志审计。 日志审计具备信息资产的综合性管理能力，通过对客户网络设备、安全设备、主机和应用系统日志进行全面的标准化处理，及时发现各种安全威胁、异常行为事件。为管理人员提供全局的视角，确保客户业务的不间断运营安全。通过采集网络资产设备上报的日志，实时监视网络各类操作行为及攻击信息。根据设置的规则，智能判断出各种风险行为，对风险行为进行报警。 功能 描述 全面日志采集 全面支持Syslog、SNMP、OPSec、XML、FTP及本地文件等协议，可以覆盖主流硬件设备、主机及应用，保障日志信息的全面收集。 实现信息资产（网络设备、安全设备、主机、应用及数据库）的日志获取，并通过预置的解析规则实现日志的解析、过滤及聚合。 同时可将收集的日志通过转发功能转发到其它网管平台。 大规模安全存储 内置TB级别存储设备，可以选配各种RAID级别进行数据冗余和安全保障。系统拥有多项自主知识产权的存储加密机制和查询机制，十分适合等保、密保等行业的应用要求。 智能关联分析 实现全维度、跨设备、细粒度关联分析，内置众多的关联规则，支持网络安全攻防检测、合规性检测，可轻松实现各资产间的关联分析。 脆弱性管理 能够收集和管理来自各种Web漏洞扫描工具、主机漏洞扫描工具、网络漏洞扫描工具产生的扫描结果，并实时和用户资产收到的攻击危险进行风险三维关联分析。 数据挖掘和数据预测 支持对历史日志数据进行数据挖掘分析，发现日志和事件间的潜在关联关系，并对挖掘结果进行可视化展示。系统自带多种数据统计预测算法，可以根据历史数据的规律对未来的数据发生情况进行有效预测。 可视化展示 实现对信息资产的实时监控、信息资产与客户管理、解析规则与关联规则的定义与分发、日志信息的统计与报表、海量日志的存储与快速检索以及平台的管理。 通过各种事件的归化处理，实现高性能的海量事件存储和检索优化功能，提供高速的事件检索能力。 事后的合规性统计分析处理，可对数据进行二次挖掘分析。 分布式部署和管理 平台支持分布式部署，可以在中心平台管理规则、配置策略自动分发、远程自动升级等，极大地降低了分布式部署的难度，提高了可管理性。 灵活的可扩展性 提供多种定制接口，实现强大的二次开发能力以及与第三方平台对接和扩展的能力。 了解更多日志审计相关操作内容，请下载阅读《云等保专区日志审计 v1.0 用户指南》。

在应用性能监控告警管理模块内完成钉钉机器人创建后，您可在通知策略中绑定目标钉钉群组作为告警接收方。当通知策略的匹配条件触发时，系统将自动向该钉钉群组推送告警通知；钉钉群接收通知后，即可在钉钉端内对相关告警进行后续管理与处置。 前提条件 已在钉钉客户端创建用于接收告警通知的钉钉群。 已添加自定义钉钉机器人并获取Webhook地址，具体操作，请参见【获取钉钉机器人Webhook地址】。 创建告警通知钉群 1. 登录【应用性能监控控制台】，在左侧导航栏选择告警管理 > 通知对象。 2. 单击钉钉/飞书/企微 页签，然后单击钉钉。 3. 在弹出的面板设置以下参数，然后单击确定。 参数 说明 名称 自定义钉钉机器人的名称。 签名密钥 可选，如配置了密钥则会通过加签的方式进行钉钉认证。如果没有配置密钥，默认使用关键字白名单的方式进行认证，白名单关键字为告警。 机器人地址 输入钉钉机器人的Webhook地址。 告警模板 可编辑告警模板内容，告警触发时将根据模板内容进行发送。 恢复模板 可编辑告警模板内容，告警恢复时将根据模板内容进行发送。

本节介绍了人脸识别相关的应用场景。 门禁人脸识别 随着人们生活水平的提高，人们更加注重家居环境的安全，安防观念不断加强。伴随着这种需求的提高，智能门禁系统应运而生，越来越多的企业、商铺、家庭都安装了各种各样的门禁系统。人脸检测内置于智能门禁系统，能准确识别进来人员人脸信息，提供出行方便的服务，同时有效的杜绝外来无关人员进入，保证环境安全。 市场营销企业商务 人脸识别技术在营销上主要有两方面的应用：首先，可以识别一个人的基本个人信息，例如性别、大致年龄，以及他们看过什么，看了多久等。其次，该技术可以用于识别已知的个人，例如已经加入系统的会员等人员身份识别。 酒旅出行 在机场、饭店、网吧等场所，行业人员流动频繁，通过实名认证服务，高精度核实住客身份信息，可有效对进出人员进行身份核验，快速甄别人员身份，提升场所登记效率，为居民提供更加方便、优质的服务，同时能满足企业和政府的监管需要。

本节为您介绍数据安全中心的应用场景。 满足合规场景 DSC可应用于合规场景，DSC提供了多种合规模板，包括GDPR、PCI DSS和HIPAA等，用户可以一键匹配识别这些合规规则，并生成报表供针对性整改。这样可以精准区分和保护个人数据，避免产生合规问题。 自动识别分类敏感数据 DSC可以为敏感数据进行自动识别并分类。可以从海量数据中自动发现并分析敏感数据的使用情况。通过数据识别引擎，DSC可以扫描、分类和分级储存的结构化数据（RDS）和非结构化数据（OBS），从而解决数据“盲点”，进一步加强数据的安全防护。 用户异常行为分析 DSC提供用户异常行为分析功能。通过深度行为识别引擎，DSC可以建立用户行为基线，并实时监测基线外的异常操作。用户可以实时查询行为操作，可视化行为轨迹，并识别与风险事件相关的用户操作，完善溯源审计链条。这样可以及时发现数据使用是否存在安全违规，并及时预警，从而预防数据泄露。 数据脱敏保护 DSC提供数据脱敏保护功能。通过多种预置脱敏算法和用户自定义脱敏算法，搭建数据保护引擎。可以实现非结构化数据的脱敏储存和结构化数据的静态脱敏，有效防止敏感数据的泄露。

Apache Dubbo官方发布了CVE201917564漏洞通告，漏洞等级中危，Web应用防火墙提供了对该漏洞的防护。本章节介绍Apache Dubbo反序列化漏洞的最佳实践。 漏洞介绍 CVE201917564漏洞等级为中危。当用户选择HTTP协议进行通信时，攻击者可以通过发送POST请求的时候来执行一个反序列化的操作，由于没有任何安全校验，该漏洞可以造成反序列化执行任意代码。 影响的版本范围 漏洞影响的Apache Dubbo产品版本包括： 2.7.0～2.7.4、2.6.0～2.6.7、2.5.x的所有版本。 安全版本 Apache Dubbo 2.7.5版本。 解决方案 建议您将Apache Dubbo升级到2.7.5版本。 如果您无法快速升级版本，或者希望防护更多其他漏洞，可以使用天翼云Web应用防火墙对该漏洞进行防护，请参照以下步骤进行防护： 步骤 1 申请WAF独享引擎。 步骤 2 将网站域名添加到WAF中并完成域名接入，详细操作请参见网站接入WAF。 步骤 3 将Web基础防护的状态设置为“拦截”模式，详细操作请参见配置Web基础防护规则。

本文为您介绍安全总览功能说明，以及支持查看的统计图表、数据含义。 Web应用防火墙（原生版）安全总览页面向您展示当前WAF实例中所有域名的防护统计记录、请求趋势图表以及攻击事件的分布状态等，帮助您了解网站业务的整体安全状态。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成防护对象接入并正常防护。 查询条件 在总览页面上方，选择要查询的防护对象和时间，查询总览数据。 查询条件说明： 防护对象：默认展示SaaS模式下已接入防护的相关数据，也可以查询其他模式下已接入防护的数据，或只查询某个防护对象的数据。 时间：查询时间支持选择昨天、今天、近3天、近7天、近30天或自定义时间范围的防护统计数据。 防护统计数据 防护统计数据展示了网站域名收到的全部请求次数、全部攻击次数和触发了不同防护模块的防护次数，防护模块包括Web入侵防护、CC防护、精准访问防护、BOT防护、地域访问控制、IP黑白名单、防敏感信息泄露、Cookie防篡改、攻击惩罚。 单击全部攻击次数，可以跳转至防护事件列表页，查看统计数据对应的详细攻击事件记录。

本文主要介绍等保合规能力说明。 查项分类 安全控制点 等保合规检查项 风险等级参考 云防火墙CFW提供的对应能力说明 相关功能介绍 安全通信网络 网络架构 应避免将重要网络区域部署在边界处，重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。 高 将重要网络区域隔离，使用云防火墙CFW实现业务流量的访问控制，并对恶意访问进行识别和拦截。 应用场景 安全通信网络 网络架构 应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力。 中 通过云防火墙自动识别业务在互联网的威胁暴露面，提供云上互联网边界的防护，入侵防御引擎对恶意流量实时检测和拦截。 应用场景 安全区域边界 边界防护 应能够对内部用户非授权连到外部网络的行为进行限制或检查。 高 云防火墙实现南北向访问的网络流量分析、全网流量可视化、对主动外联行为的分析和阻断、开通或变更白名单策略。 功能特性 安全区域边界 边界防护 应能够对非授权设备私自联到内部网络的行为进行限制或检查。 中 云防火墙实现南北向访问的网络流量分析、全网流量可视化、对主动外联行为的分析和阻断、开通或变更白名单策略。 功能特性 安全区域边界 边界防护 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。 中 云防火墙实现南北向访问的网络流量分析、全网流量可视化、对主动外联行为的分析和阻断、开通或变更白名单策略。 功能特性 安全区域边界 入侵防范 应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为。 高 云防火墙实现对互联网上的恶意流量入侵活动和常规攻击行为进行实时阻断和拦截。 功能特性 安全区域边界 入侵防范 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为。 高 云防火墙实现云上资产对外流量的主动外联、失陷感知等出方向流量分析和攻击防护及访问控制。 功能特性 安全区域边界 入侵防范 当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。 中 云防火墙提供对业务流量中的攻击行为的检测和记录，并能根据策略设置提供攻击流量阻断功能，记录风险级别、事件名称、源IP、目的IP、方向、判断来源、发生时间和动作。 功能特性 安全区域边界 访问控制 应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下受控接口拒绝除允许通信外的所有通信。 高 云防火墙实现统一管理互联网到业务的南北向访问策略和业务，达到协议、端口、应用级访问控制粒度。 管理访问控制策略 安全区域边界 访问控制 应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化。 中 云防火墙提供策略命中计数功能，客户可以根据命中情况，及时调整策略的设置，确保没有冗余的策略。云防火墙访问控制策略可配置优先级，您可以根据业务需求优化访问控制列表。 管理访问控制策略 安全区域边界 访问控制 应对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许或拒绝数据包进出。 高 云防火墙实现对进出访问控制策略进行严格设置。访问控制策略包括源类型、访问源、目的类型、目的、协议类型、目的端口、应用协议、动作、描述和优先级。 管理访问控制策略 安全区域边界 访问控制 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级。 中 云防火墙对互联网上的恶意流量入侵活动和常规攻击行为进行实时阻断和拦截。 管理访问控制策略 安全区域边界 访问控制 应对进出网络的数据流实现基于应用协议和应用内容的访问控制。 中 云防火墙实现跨流量的应用协议、内容的访问控制。 管理访问控制策略 安全区域边界 安全审计 应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计。 高 云防火墙提供日志审计功能，可以记录所有流量日志、事件日志和操作日志。 日志审计 安全区域边界 安全审计 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。 中 云防火墙提供日志记录事件功能，包括：时间、威胁类型、方向、源IP和目的IP、应用类型、严重性等级以及响应动作等信息。 日志审计 安全区域边界 安全审计 应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等。 中 云防火墙提供日志分析功能，对已分析的日志，默认提供存储6个月内的日志数据，并提供实时日志分析能力。 日志审计 安全区域边界 安全审计 应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。 中 云防火墙提供日志分析功能，对已分析的日志，默认提供存储6个月内的日志数据，并提供实时日志分析能力。 日志审计

使用限制 暂不支持虚拟化软件安装和再进行虚拟化（如安装使用 VMware 或者 HyperV）。 暂不支持声卡应用、直接加载外接硬件设备（如U盘、外接硬盘、银行U盾等）。

本文介绍事件总线EventBridge的产品优势。 可用性 支持高吞吐量的事件发布和消费。 支持服务Serverless化和自动弹性伸缩，轻松应对突发流量。 支持无状态实例，节点异常对服务无影响，服务可用性高。 易用性 支持无缝迁移上云，完全兼容CloudEvents 1.0。 支持多种访问方式，包括控制台与CloudEvents SDK。 支持接入多种应用程序，包括天翼云服务和自定义应用。 安全性 对接统一身份认证服务，支持通过天翼云账号向RAM用户授权。 支持HTTP/HTTPS协议。