当证书过期或证书无效时，您可以删除该证书。本节介绍如何删除证书。 前提条件 证书没有被使用，即证书未绑定防护网站。 约束条件 如果证书已绑定防护网站，删除证书前需要解除该证书与域名绑定关系。 系统影响 删除证书不会影响业务。 证书删除后不可恢复，请谨慎删除证书。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台右上角的，选择区域。 步骤 3 单击页面左上方的，选择“安全> Web应用防火墙（独享版）”。 步骤 4 在左侧导航树中，选择“对象管理> 证书管理”，进入“证书管理”页面。 步骤 5 在目标证书所在行的“操作”列中，单击“删除”。 步骤 6 在弹出的提示框中，单击“确认”，删除证书。 相关操作 如果证书已绑定防护网站，删除证书前需要解除该证书与域名绑定关系。请参考以下操作步骤，解除证书与域名绑定关系。 步骤 1 在目标证书所在行的“应用域名”列中，单击防护域名，进入域名基本信息页面。 步骤 2 在“证书名称”后单击编辑按钮，在弹出的对话框中，上传新证书或者选择其他已有证书。

参数名 数据类型 应用类型 默认值 Agent支持的起始版本 Agent支持的终止版本 描述 获取连接调用链上报时间阈值(ms) integer JAVA 1 2.2.9 borrowConnection()方法调用链上报阈值，不超过该阈值不上报。 是否采集原始cql radio JAVA false 2.2.9 是否采集原始cql。

使用场景 应用：大规模并行处理 (MPP)数据仓库，MapReduce和Hadoop分布式计算，大数据计算。 场景特点：适合处理海量数据、需要高I/O能力，要求快速数据交换和处理的场景。 使用场景：分布式文件系统 ，网络文件系统、日志或数据处理应用。 规格 规格名称 vCPU 内存（GiB） 最大带宽/基准带宽（Gbps） 最大收发包能力（万PPS） 网络连接数（万） 网卡多队列数 网卡个数上限 本地盘 （ GiB） 虚拟化类型 d6.xlarge.4 4 16 5/2 60 50 2 3 2 × 3600 KVM d6.2xlarge.4 8 32 10/4 120 100 4 4 4 × 3600 KVM d6.4xlarge.4 16 64 20/7.5 240 150 8 8 8 × 3600 KVM d6.6xlarge.4 24 96 25/11 350 200 8 8 12 × 3600 KVM d6.8xlarge.4 32 128 30/15 450 300 16 8 16 × 3600 KVM d6.12xlarge.4 48 192 40/22 650 400 16 8 24 × 3600 KVM d6.16xlarge.4 64 256 42/30 850 500 32 8 32 × 3600 KVM d6.18xlarge.4 72 288 44/34 900 700 32 8 36 × 3600 KVM

本文介绍如何通过ELB接入方式将网站接入WAF进行防护。 Web应用防火墙（原生版）支持接入负载均衡（ELB）实例，您可以为使用HTTP或HTTPS监听协议的ELB监听器开启WAF防护。WAF对进入监听器的应用层流量进行检测（不参与流量转发），您可根据自身应用需求设置相应的防护规则。 前提条件 该功能当前处于试用阶段，如需试用请通过天翼云控制台提工单进行申请。 已购买WAF云SaaS型实例，且实例版本为标准版及以上版本。 实例支持防护的ELB监听器个数未超过配额限制，各个版本支持的配额请参见产品规格。 约束限制 目前仅支持防护性能保障型的负载均衡实例，不支持经典型实例。 目前仅支持为HTTP/HTTPS监听器开启安全防护。 目前仅支持防护“武汉41”区域的ELB监听器。 在WAF控制台开启防护 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 进入到WAF控制台，在左侧导航栏选择“接入管理”，选择“云产品接入”页签。 5. 单击“添加防护对象”进入添加防护对象页面，配置防护对象参数。 配置项 说明 ELB（负载均衡器） 单击“选择ELB（负载均衡器）”，弹出当前所在区域的ELB实例列表，找到目标ELB，单击操作列的“选择”。 监听器 单击“选择监听器”，弹出所选ELB实例下的监听器列表，找到目标监听器，单击操作列的“选择”。 说明 仅支持选择监听协议为HTTP 、HTTPS的监听器。 防护对象名称 防护对象的名称，默认为“ELB名称 :监听器名称”，支持自定义。 域名 （可选）填写所选监听器下的域名，可添加精确域名和泛域名： 精确域名：支持多级别精确域名，例如主域名ctyun.cn、子域名www.ctyun.cn等。 泛域名：支持使用泛域名格式，例如.ctyun.cn可以匹配www.ctyun.cn、test.ctyun.cn。 说明 使用泛域名后，WAF将自动匹配该泛域名对应的所有子域名，例如，.ctyun.cn能够匹配www.ctyun.cn、test.ctyun.cn等。 泛域名不支持匹配对应的主域名，例如.ctyun.cn不能匹配ctyun.cn。 如果同时存在精确域名和泛域名，则精确域名的转发规则和防护策略优先生效。 备注 （可选）防护对象的描述信息，可以自定义。 6. 配置完成后单击“确定”，返回云产品接入页面。 说明 ELB监听器接入WAF后，WAF防护开关默认“开启”，暂不支持在WAF控制台关闭防护。

本文介绍WAF针对DeepSeek安全防护场景提供的Web防护方案。 背景介绍 随着人工智能技术的快速发展，很多企业选择在GPU云主机或GPU裸金属上搭建DeepSeek私有化服务，在这个过程中，用户不仅享受到了强大的AI算力资源，同时也面临着复杂的网络威胁，如DDoS攻击、SQL注入、跨站脚本（XSS）等。 为了保障AI算力资源、训练数据及服务API链路的安全性，部署Web应用防火墙成了必不可少的安全举措。Web应用防火墙支持多种定制化的安全防护策略，帮助企业有效应对各种网络威胁，确保DeepSeek服务的稳定运行，保障DeepSeeK安全性。 DeepSeek安全防护场景示意图 在DeepSeek Web安全防护场景中，用户的DeepSeeK服务部署在GPU云主机或GPU裸金属上，WAF作为前端的安全网关，负责过滤所有进入的流量。通过WAF的定制化规则和先进的内容检测引擎，恶意流量被有效拦截，确保AI算力资源和训练数据的安全。 安全风险及应对方案 风险名称 风险描述 WAF应对方案 相关文档 Web UI漏洞 Open WebUI 0.1.105版本存在文件上传漏洞，ComfyUI多个插件存在安全漏洞。部署大模型过程中，通常会使用大模型自带的WebUI组件，开源的Web UI组件以及老旧的版本，为大模型的部署和应用带来了巨大的入侵风险。 开启WAF的Web攻击防护功能，为Web UI提供必要的安全防护能力。 Web基础防护 企业敏感信息泄露 企业利用私有数据进行数据训练时，私有数据可能包含商业敏感信息，存在数据泄露风险。 根据企业机密信息内容，通过WAF精准访问控制功能，对敏感信息进行检测拦截，保障企业数据安全。 精准访问控制 大模型输入输出内容违规 私有化大模型输入输出内容可能涉及政治、赌博、色情、违法犯罪等违规内容，影响企业声誉。 通过WAF敏感信息防泄漏功能，自动屏蔽违规内容，保障企业声誉安全。 防敏感信息泄露 应用层CC攻击及API互联网暴露风险 由于多用户同时使用或单用户对大模型API接口的频繁调度导致大模型token被大量占用，服务器繁忙无法为用户提供正常服务；大模型API接口的暴露，会为用户的API接口带来安全风险。 采用WAF的CC防护限速功能，保证大模型连续可用性；建设API安全监测与分析能力，降低因API漏洞造成的安全风险。 CC防护 API安全

参数名 数据类型 应用类型 默认值 Agent支持的起始版本 Agent支持的终止版本 描述 拦截方法配置 objarray JAVA 2.0.0 配置拦截方法名，该方法会添加监控；拦截方法名多个用逗号分隔，拦截方法名为空，默认拦截所有public方法。

本章节主要介绍kubernetes服务详情中的版本管理功能 概览 本章节主要介绍kubernetes服务详情中的版本管理，在该页面可以配置服务的版本标签名称 说明 版本标签指的是同一个服务下用于区分不同工作负载的标签key集合 当修改了版本标签后，会同步修改当前服务相关的目标规则下子集的标签名称。在页面下方，可以查看服务相关的目标规则的子集列表，针对每个子集，用户可以进行标签的增加、编辑和删除操作。 操作步骤 配置版本标签步骤 1. 登录应用应用服务网格控制台，单击应用服务网格实例的名称，进入网格详情页面 2. 在左侧导航栏选择“集群与工作负载 ”，单击“kubernetes服务管理” 3. 点击右上角下拉框选择服务所在的命名空间 4. 点击服务的名称，进入服务详情页面 5. 点击服务详情页面的“版本管理”标签 6. 点击“配置版本标签”按钮 7. 在版本标签配置弹窗中，可以新增标签、编辑标签以及删除标签 8. 点击“确定”按钮进行保存 注意 该操作会同步修改当前服务下所有目标规则的子集定义的标签名称，新增的版本标签不受影响 配置目标规则子集步骤 1. 登录应用应用服务网格控制台，单击应用服务网格实例的名称，进入网格详情页面 2. 在左侧导航栏选择“集群与工作负载 ”，单击“kubernetes服务管理” 3. 点击右上角下拉框选择服务所在的命名空间 4. 点击服务的名称，进入服务详情页面 5. 点击服务详情页面的“版本管理”标签 6. 点击“请选择目标规则”下拉框，选择需要配置的目标规则，可以查看所选目标规则的名称、命名空间以及host 7. 单击“添加服务版本”，可新增一个新的服务版本，一个服务版本相当于目标规则的一个子集 8. 在服务版本的表单中，可以编辑版本名称以及标签 9. 单击右上角“保存”，即可修改对应的目标规则

本文向您介绍云主机网络延迟和丢包,如何定位的解决方案。 问题概述 当您的云主机出现网络延迟和丢包的问题，可能出现以下三种情况。 云主机被入侵：云主机如果发生被黑客入侵或者中毒情况，那么可能病毒程序可能会频繁发送数据包造成带宽超出上限，从而导致丢包现象，严重的情况下可能会使远程登录服务无法使用。 云主机本地网络故障：系统中可能存在业务进程传输io过大导致网络丢包，比如云主机在大量传输文件等。 云主机应用运行异常：应用运行异常会导致网络丢包，如某个应用占用很高的CPU、内存，造成云主机资源不足。 解决方案 云主机被入侵的排查方式： 可以通过 netstat anpt 命令查看系统是否存在异常连接。 可以通过查询图中Foreign Address字段中的IP地址归属判断云主机是否存异常连接，如果IP地址归属为国外地址或者非业务访问连接地址，那么云主机有可能被攻击或中毒。这种情况下建议在云主机中安装专业杀毒软件或者重装云主机系统，并对云主机做相关基于业务场景的安全加固，确保不会再次发生中毒现象。 本地网络故障的排查方式 以CentOS 7.6为例，执行以下命令，安装iotop工具。 plaintext yum install y iotop 可通过图中DISK READ和DISK WRITE字段以及COMMAND字段判断某个进程的读写情况。若存在IO流量值很大的情况，需要考虑对相应进程进行整改以确保网络稳定性。比如关闭正在传输的进程，或者分批次进行文件传输等。

使用持久存储卷 本地持久存储卷支持使用StorageClass动态创建PVC，StorageClass名称为csilocaltopology。csilocaltopology的行为相比csidisk等他类型StorageClass有较大差异，使用csilocaltopology行为如下。 添加了本地持久存储卷的节点会自动加上node.kubernetes.io/localstoragepersistent的标签。如果Pod使用csilocaltopology类型的PVC，调度器会将Pod调度到拥有node.kubernetes.io/localstoragepersistent标签的节点上，也就是拥有本地持久存储卷的节点上。 单独创建PVC，PVC创建后，状态会一直为Pending，不会立即创建PV。等有Pod使用PVC，调度器将Pod调度到节点后，everest再创建localpv所需的逻辑卷，并返回PV，PVC完成与PV的绑定。待挂载成功后，Pod启动。 创建应用时选择动态创建PVC，此时动态创建PVC后，调度器将Pod调度到节点，everest再创建逻辑卷，并返回PV，PVC完成与PV的绑定。待挂载成功后，Pod启动。 删除应用时，可选择不删除使用的PVC。这样在下一次创建应用时可以使用使用过的PVC，这样Pod会被调度到PVC关联的节点上。 apiVersion: v1 kind: PersistentVolumeClaim metadata: name: pvclocalexample namespace: default spec: accessModes: ReadWriteOnce 必须为ReadWriteOnce resources: requests: storage: 10Gi 本地持久存储卷大小 storageClassName: csilocaltopology StorageClass类型为csilocaltopology 使用临时存储卷 创建工作负载时，EmptyDir的磁盘介质选择为LocalVolume，表示使用临时存储卷。 apiVersion: apps/v1 kind: Deployment metadata: name: nginx namespace: default spec: replicas: 2 selector: matchLabels: app: nginx template: metadata: labels: app: nginx spec: containers: name: container1 image: nginx:alpine resources: requests: cpu: 250m memory: 512Mi limits: cpu: 250m memory: 512Mi volumeMounts: name: vol164284390917275733 mountPath: /tmp imagePullSecrets: name: defaultsecret volumes: name: vol164284390917275733 emptyDir: medium: LocalVolume

本章节主要介绍ALM29005 Impalad JDBC连接数超过阈值的告警。 告警解释 以30s为周期检测连接到该Impalad节点的客户端连接数，当检测到的连接数超过自定义阈值（默认60）时，系统产生此告警。 当系统检测到客户端连接数减少到阈值以下时，告警将自动解除。 告警属性 告警ID 告警级别 是否自动清除 29005 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称 服务名 产生告警的服务名称 角色名 产生告警的角色名称 主机名 产生告警的主机名 Trigger Condition 系统当前指标取值满足自定义的告警设置条件 对系统的影响 后续新建立客户端连接可能会阻塞甚至失败。 可能原因 该Impalad服务维护的客户端链接过多，或者阈值设定的太小。 处理步骤 1. 在FusionInsight Manager首页，选择“运维 > 告警 > 阈值设置 > Impala > 连接数 > 已经连接到Impalad进程的JDBC数量” ，检查设置的阈值大小。 2. 检查连接到当前Impalad的JDBC应用数，并关闭闲置的应用，观察告警是否自动清除。 是，处理完毕。 否，执行步骤3，修改并发客户端连接数。 3. 在FusionInsight Manager首页，选择“集群 > Impala > 配置 > 全部配置 > Impalad > 自定义”，增加自定义参数 feservicethreads，该参数默认值64，请按照需要修改该值，单击“保存”按钮保存配置。 4. 在所有客户端的查询任务都执行完成后，选择“实例”页签，勾选所有“Impalad”实例并重启。 5. 重启完成后告警将消失，请重新运行使用JDBC方式连接Impalad的应用。

本章节主要介绍ALM29006 Impalad ODBC连接数超过阈值的告警。 告警解释 以30s为周期检测连接到该Impalad节点的客户端连接数，当检测到的连接数超过自定义阈值（默认60）时，系统产生此告警。 当系统检测到客户端连接数减少到阈值以下时，告警将自动解除。 告警属性 告警ID 告警级别 是否自动清除 29006 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称 服务名 产生告警的服务名称 角色名 产生告警的角色名称 主机名 产生告警的主机名 Trigger Condition 系统当前指标取值满足自定义的告警设置条件 对系统的影响 后续新建立客户端连接可能会阻塞甚至失败。 可能原因 该Impalad服务维护的客户端连接过多，或者阈值设定的太小。 处理步骤 1. 在FusionInsight Manager首页，选择“运维 > 告警 > 阈值设置 > Impala > 连接数 > 已经连接到Impalad进程的ODBC数量" ，检查阈值大小。 2. 检查连接到当前Impalad进程的ODBC应用数，并关闭闲置的应用，观察告警是否自动清除。 是，处理完毕。 否，执行步骤3，修改并发Impalad支持的并发连接数。 3. 在FusionInsight Manager首页，选择“集群 > Impala > 配置 > 全部配置 > Impalad > 自定义”，增加自定义参数 feservicethreads，该参数默认值64，请按照需要修改该值，单击“保存”按钮保存配置。 4. 在所有客户端的查询任务都执行完成后，选择“实例”页签，勾选所有“Impalad”实例并重启。 5. 重启完成后告警将消失，请重新运行使用ODBC方式连接Impalad的应用。

本文主要介绍等保合规能力说明。 查项分类 安全控制点 等保合规检查项 风险等级参考 云防火墙CFW提供的对应能力说明 相关功能介绍 安全通信网络 网络架构 应避免将重要网络区域部署在边界处，重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。 高 将重要网络区域隔离，使用云防火墙CFW实现业务流量的访问控制，并对恶意访问进行识别和拦截。 应用场景 安全通信网络 网络架构 应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力。 中 通过云防火墙自动识别业务在互联网的威胁暴露面，提供云上互联网边界的防护，入侵防御引擎对恶意流量实时检测和拦截。 应用场景 安全区域边界 边界防护 应能够对内部用户非授权连到外部网络的行为进行限制或检查。 高 云防火墙实现南北向访问的网络流量分析、全网流量可视化、对主动外联行为的分析和阻断、开通或变更白名单策略。 功能特性 安全区域边界 边界防护 应能够对非授权设备私自联到内部网络的行为进行限制或检查。 中 云防火墙实现南北向访问的网络流量分析、全网流量可视化、对主动外联行为的分析和阻断、开通或变更白名单策略。 功能特性 安全区域边界 边界防护 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。 中 云防火墙实现南北向访问的网络流量分析、全网流量可视化、对主动外联行为的分析和阻断、开通或变更白名单策略。 功能特性 安全区域边界 入侵防范 应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为。 高 云防火墙实现对互联网上的恶意流量入侵活动和常规攻击行为进行实时阻断和拦截。 功能特性 安全区域边界 入侵防范 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为。 高 云防火墙实现云上资产对外流量的主动外联、失陷感知等出方向流量分析和攻击防护及访问控制。 功能特性 安全区域边界 入侵防范 当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。 中 云防火墙提供对业务流量中的攻击行为的检测和记录，并能根据策略设置提供攻击流量阻断功能，记录风险级别、事件名称、源IP、目的IP、方向、判断来源、发生时间和动作。 功能特性 安全区域边界 访问控制 应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下受控接口拒绝除允许通信外的所有通信。 高 云防火墙实现统一管理互联网到业务的南北向访问策略和业务，达到协议、端口、应用级访问控制粒度。 管理访问控制策略 安全区域边界 访问控制 应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化。 中 云防火墙提供策略命中计数功能，客户可以根据命中情况，及时调整策略的设置，确保没有冗余的策略。云防火墙访问控制策略可配置优先级，您可以根据业务需求优化访问控制列表。 管理访问控制策略 安全区域边界 访问控制 应对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许或拒绝数据包进出。 高 云防火墙实现对进出访问控制策略进行严格设置。访问控制策略包括源类型、访问源、目的类型、目的、协议类型、目的端口、应用协议、动作、描述和优先级。 管理访问控制策略 安全区域边界 访问控制 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级。 中 云防火墙对互联网上的恶意流量入侵活动和常规攻击行为进行实时阻断和拦截。 管理访问控制策略 安全区域边界 访问控制 应对进出网络的数据流实现基于应用协议和应用内容的访问控制。 中 云防火墙实现跨流量的应用协议、内容的访问控制。 管理访问控制策略 安全区域边界 安全审计 应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计。 高 云防火墙提供日志审计功能，可以记录所有流量日志、事件日志和操作日志。 日志审计 安全区域边界 安全审计 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。 中 云防火墙提供日志记录事件功能，包括：时间、威胁类型、方向、源IP和目的IP、应用类型、严重性等级以及响应动作等信息。 日志审计 安全区域边界 安全审计 应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等。 中 云防火墙提供日志分析功能，对已分析的日志，默认提供存储6个月内的日志数据，并提供实时日志分析能力。 日志审计 安全区域边界 安全审计 应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。 中 云防火墙提供日志分析功能，对已分析的日志，默认提供存储6个月内的日志数据，并提供实时日志分析能力。 日志审计

本文介绍云容器引擎Serverless版的产品优势。 开箱即用 一键创建 Kubernetes 集群、直接部署应用程序，无需管理Kubernetes节点和服务器。 原生兼容 提供完善的Kubernetes兼容能力，支持原生Kubernetes应用和生态，可以轻松迁移已有的Kubernetes应用程序。 安全隔离 Pod基于弹性容器实例ECI服务运行，实现了安全隔离的容器运行环境，避免了容器实例间相互影响的问题。 降低成本 提供按需创建、按量计费的模式，避免了不必要的资源浪费和成本费用，同时Serverless也大大降低了运维成本。 服务集成 支持与天翼云基础服务无缝集成，可以使用一体化控制台高效操作。

本文将指引您搭建一个IPv6网段的VPC,并在VPC中创建一个带有IPv6地址的集群和节点,使节点可以访问Internet上的IPv6服务。 简介 IPv6的使用，可以有效弥补IPv4网络地址资源有限的问题。如果当前集群中的工作节点（如ECS）使用IPv4，那么启用IPv6后，工作节点可在双栈模式下运行，即工作节点可以拥有两个不同版本的IP地址：IPv4地址和IPv6地址，这两个IP地址都可以进行内网/公网访问。 使用场景 如果您的应用需要为使用IPv6终端的用户提供访问服务，则您可使用：IPv6弹性公网IP或IPv6双栈。 如果您的应用既需要为使用IPv6终端的用户提供访问服务，又需要对这些访问来源进行数据分析处理，则您必须使用IPv6双栈。 如果您的应用系统与其他系统（例如：数据库系统）、应用系统之间需要使用IPv6进行内网访问，则您必须使用IPv6双栈。 使用IPv6双栈请参考IPv4/IPv6双栈网络、IPv6弹性公网IP。 搭建IPv4/IPv6双栈集群步骤 步骤 1 创建虚拟私有云，且创建已开启了IPv6的子网。若没有，则参考创建虚拟私有云和子网。 1. 创建VPC时需开启IPv6 2. 创建子网并开启IPv6 步骤 2 创建集群 1. 登录CCE控制台，在右上角中选择“创建集群”。 2. 网络配置请按如下设置，其余配置可参考订购集群： 虚拟私有云：选择已开启IPv6的VPC。 所在子网：仅支持选择已开启了IPv6的子网。 启用IPv6：选择开启，开启后将支持通过IPv6地址段访问集群资源，包括节点，工作负载等。 Pod子网：仅支持选择已开启了IPv6的子网。 Service CIDR：容器网段要设置合理的掩码，掩码决定集群内可用节点数量。集群中容器网段掩码设置不合适，会导致集群实际可用的节点较少。 Service CIDRV6：该网段决定了支持 IPv6 地址的 Service 资源的上限，创建后不可修改，默认为fc00::/112。如需自定义该网段，需要满足以下要求，详情请参考如何设置Service CIDRV6网段： Service CIDRV6网段需属于fc00::/8网段内。 IPv6地址前缀长度范围为112120，您可以通过调整前缀数值，调整地址个数，地址数最多可支持65536个

本文将指引您搭建一个IPv6网段的VPC,并在VPC中创建一个带有IPv6地址的集群和节点,使节点可以访问Internet上的IPv6服务。 简介 IPv6的使用，可以有效弥补IPv4网络地址资源有限的问题。如果当前集群中的工作节点（如ECS）使用IPv4，那么启用IPv6后，工作节点可在双栈模式下运行，即工作节点可以拥有两个不同版本的IP地址：IPv4地址和IPv6地址，这两个IP地址都可以进行内网/公网访问。 使用场景 如果您的应用需要为使用IPv6终端的用户提供访问服务，则您可使用：IPv6弹性公网IP或IPv6双栈。 如果您的应用既需要为使用IPv6终端的用户提供访问服务，又需要对这些访问来源进行数据分析处理，则您必须使用IPv6双栈。 如果您的应用系统与其他系统（例如：数据库系统）、应用系统之间需要使用IPv6进行内网访问，则您必须使用IPv6双栈。 使用IPv6双栈请参考IPv4/IPv6双栈网络、IPv6弹性公网IP。 搭建IPv4/IPv6双栈集群步骤 步骤 1 创建虚拟私有云，且创建已开启了IPv6的子网。若没有，则参考创建虚拟私有云和子网。 1. 创建VPC时需开启IPv6 2. 创建子网并开启IPv6 步骤 2 创建集群 1. 登录CCE控制台，在右上角中选择“创建集群”。 2. 网络配置请按如下设置，其余配置可参考订购集群： 虚拟私有云：选择已开启IPv6的VPC。 所在子网：仅支持选择已开启了IPv6的子网。 启用IPv6：选择开启，开启后将支持通过IPv6地址段访问集群资源，包括节点，工作负载等。 Pod子网：仅支持选择已开启了IPv6的子网。 Service CIDR：容器网段要设置合理的掩码，掩码决定集群内可用节点数量。集群中容器网段掩码设置不合适，会导致集群实际可用的节点较少。 Service CIDRV6：该网段决定了支持 IPv6 地址的 Service 资源的上限，创建后不可修改，默认为fc00::/112。如需自定义该网段，需要满足以下要求，详情请参考如何设置Service CIDRV6网段： Service CIDRV6网段需属于fc00::/8网段内。 IPv6地址前缀长度范围为112120，您可以通过调整前缀数值，调整地址个数，地址数最多可支持65536个

本节介绍云等保专区产品的日志审计。 日志审计具备信息资产的综合性管理能力，通过对客户网络设备、安全设备、主机和应用系统日志进行全面的标准化处理，及时发现各种安全威胁、异常行为事件。为管理人员提供全局的视角，确保客户业务的不间断运营安全。通过采集网络资产设备上报的日志，实时监视网络各类操作行为及攻击信息。根据设置的规则，智能判断出各种风险行为，对风险行为进行报警。 功能 描述 全面日志采集 全面支持Syslog、SNMP、OPSec、XML、FTP及本地文件等协议，可以覆盖主流硬件设备、主机及应用，保障日志信息的全面收集。 实现信息资产（网络设备、安全设备、主机、应用及数据库）的日志获取，并通过预置的解析规则实现日志的解析、过滤及聚合。 同时可将收集的日志通过转发功能转发到其它网管平台。 大规模安全存储 内置TB级别存储设备，可以选配各种RAID级别进行数据冗余和安全保障。系统拥有多项自主知识产权的存储加密机制和查询机制，十分适合等保、密保等行业的应用要求。 智能关联分析 实现全维度、跨设备、细粒度关联分析，内置众多的关联规则，支持网络安全攻防检测、合规性检测，可轻松实现各资产间的关联分析。 脆弱性管理 能够收集和管理来自各种Web漏洞扫描工具、主机漏洞扫描工具、网络漏洞扫描工具产生的扫描结果，并实时和用户资产收到的攻击危险进行风险三维关联分析。 数据挖掘和数据预测 支持对历史日志数据进行数据挖掘分析，发现日志和事件间的潜在关联关系，并对挖掘结果进行可视化展示。系统自带多种数据统计预测算法，可以根据历史数据的规律对未来的数据发生情况进行有效预测。 可视化展示 实现对信息资产的实时监控、信息资产与客户管理、解析规则与关联规则的定义与分发、日志信息的统计与报表、海量日志的存储与快速检索以及平台的管理。 通过各种事件的归化处理，实现高性能的海量事件存储和检索优化功能，提供高速的事件检索能力。 事后的合规性统计分析处理，可对数据进行二次挖掘分析。 分布式部署和管理 平台支持分布式部署，可以在中心平台管理规则、配置策略自动分发、远程自动升级等，极大地降低了分布式部署的难度，提高了可管理性。 灵活的可扩展性 提供多种定制接口，实现强大的二次开发能力以及与第三方平台对接和扩展的能力。 了解更多日志审计相关操作内容，请下载阅读《云等保专区日志审计 v1.0 用户指南》。

本节介绍如何在主机资产页面管理终端。 管理终端 用户可在主机资产页面查看所有绑定该中心的主机信息，包括名称、分组、标签、IP、操作系统、终端版本等，并可查看终端详情、编辑终端、查看策略等操作。 查看终端详情 1. 登录大模型安全卫士实例。 2. 在菜单栏选择“资产中心 > 主机资产”，进入主机资产页面。 3. 选择需要查看的主机终端（须确保终端为在线状态），点击终端名称或者点击操作项 中的“查看”。 4. 进入终端详情页面，即可查看该主机终端的详细信息，并可进行远程重启主机、关闭主机及修改远程端口操作。 终端概况说明如下： 终端信息 说明 终端详情 对终端进行详细信息展示：包括网络信息、环境信息、其他信息等；并支持远程关闭主机、重启主机、停止防护等操作。 监听端口 对终端上的端口情况进行实时监控。 运行程序 对终端上的进程运行情况进行实时监控，并支持远程结束相关进程。 账号信息 对终端上的所有账号信息进行统计。 运行应用 对终端上运行的软件应用信息进行统计。 性能监控 对终端上的内存、CPU、磁盘、网络IO进行监控统计。 临时封锁IP 对终端上因为防暴力破解和防端口扫描而引发的临时封锁IP进行管理。 注册表启动项 对终端上所有的注册表启动项进行统计和管理。 Web框架 对终端上运行的Web框架进行统计。 Web服务 对终端上运行的Web服务进行统计。 数据库 对终端上运行的数据库进行统计。 Web应用 对终端上运行的Web应用进行统计。 在线统计 对终端的在线时间进行统计。 安装软件 对终端安装包名、版本号、类型、发布者、安装时间等进行统计。 Jar包 对终端安装所关联的jar包进行统计。 计划任务 对终端被制定了哪些计划任务进行统计。 环境变量 对终端的环境变量进行统计。 内核模块 对终端内核模块名称、版本号、模块路径和大小、模块依赖等进行统计。 Windows证书 对终端的各种证书进行统计。

三、物料准备 3.1 模型文件获取 方式一：（极速）使用cthpc一键安装工具，分钟级快速下发模型，当前支持： 华东1、武汉41、上海15、华北2、华南2、北京9、西南1、长沙42。 plaintext mkdir p /mnt/nvme1n1/model 使用 cthpc 工具极速下发 cthpc model makecache cthpc model install DeepSeekV4Flashw8a8mtp dir /mnt/nvme1n1/model/ 方式二：（传统方式速度慢）基于modelscope、魔乐社区、huggingface平台，使用对应工具直接下载（不推荐，受限于公网EIP订阅的带宽大小） plaintext mkdir p /mnt/nvme1n1/model modelscope下载依赖python3.8+的环境，若缺失，则需要构建虚拟环境 pip install upgrade pip i pip install modelscope modelscope download model EcoTech/DeepSeekV4Flashw8a8mtp localdir /mnt/nvme1n1/model/DeepSeekV4Flashw8a8mtp 3.2 高性能容器SIF文件获取 基于Apptainer（原 Singularity） 封装的 vLLMAscend 昇腾推理加速包，高性能计算集群产品将持续迭代优化，原生适配昇腾 NPU 硬件、无权限壁垒、极致轻量化、生产级稳定，全面超越传统 Docker 容器，是昇腾 AI 推理场景的最优融合选择。 方式一：（极速）使用cthpc一键安装工具，秒级快速下发apptainer高性能容器灌装，当前支持： 华东1、武汉41、上海15、华北2、华南2、北京9、西南1、长沙42。 plaintext mkdir p /mnt/nvme0n1/apptainer 使用 cthpc 工具极速下发 cthpc apptainer makecache cthpc apptainer install vllmascendv0.13.0rc3 dir /mnt/nvme0n1/apptainer/ 方式二：（传统方式速度慢）通过天翼云zos站点直接下载（不推荐，受限于公网EIP订阅的带宽大小） plaintext mkdir p /mnt/nvme0n1/apptainer 使用 wget 从 天翼云ZOS 下载 SIF 镜像 wget

技术亮点 与Qwen7B预训练模型相同，Qwen7BChat模型规模基本情况如下所示： Hyperparameter Value nlayers 32 nheads 32 dmodel 4096 vocab size 151851 sequence length 8192 在位置编码、FFN激活函数和normalization的实现方式上，采用目前最流行的做法，即RoPE相对位置编码、SwiGLU激活函数、RMSNorm（可选安装flashattention加速）。 在分词器方面，相比目前主流开源模型以中英词表为主，Qwen7BChat使用了约15万token大小的词表。该词表在GPT4使用的BPE词表cl100kbase基础上，对中文、多语言进行了优化，在对中、英、代码数据的高效编解码的基础上，对部分多语言更加友好，方便用户在不扩展词表的情况下对部分语种进行能力增强。词表对数字按单个数字位切分。调用较为高效的tiktoken分词库进行分词。 相关引用 如对你有帮助，欢迎引用！ plaintext @article{qwen, title{Qwen Technical Report}, author{Jinze Bai and Shuai Bai and Yunfei Chu and Zeyu Cui and Kai Dang and Xiaodong Deng and Yang Fan and Wenbin Ge and Yu Han and Fei Huang and Binyuan Hui and Luo Ji and Mei Li and Junyang Lin and Runji Lin and Dayiheng Liu and Gao Liu and Chengqiang Lu and Keming Lu and Jianxin Ma and Rui Men and Xingzhang Ren and Xuancheng Ren and Chuanqi Tan and Sinan Tan and Jianhong Tu and Peng Wang and Shijie Wang and Wei Wang and Shengguang Wu and Benfeng Xu and Jin Xu and An Yang and Hao Yang and Jian Yang and Shusheng Yang and Yang Yao and Bowen Yu and Hongyi Yuan and Zheng Yuan and Jianwei Zhang and Xingxuan Zhang and Yichang Zhang and Zhenru Zhang and Chang Zhou and Jingren Zhou and Xiaohuan Zhou and Tianhang Zhu}, journal{arXiv preprint arXiv:2309.16609}, year{2023} }

前提条件 创建私有镜像前，请您务必执行以下操作： 请将云主机中的敏感数据删除后再创建私有镜像，避免数据安全隐患。 确保云主机处于运行中或关机状态。 检查云主机的网络配置，确保网卡属性为DHCP方式，按需开启远程桌面连接功能。详情请参见设置网卡属性为DHCP（Windows）和开启远程桌面连接功能。 有些云主机正常运行或者高级功能依赖某些驱动，例如：GPU加速型云主机依赖Tesla驱动和GRID/vGPU驱动。因此，需要提前安装特殊驱动。详情请参见安装Windows特殊驱动。 检查云主机中是否已安装一键式重置密码插件，保证镜像创建的新云主机可以使用控制台的“重置密码”功能进行密码重置。详情请参见安装一键式重置密码插件（Windows）。 检查云主机中是否已安装CloudbaseInit工具，保证镜像创建的新云主机可以使用控制台的“用户数据注入”功能注入初始化自定义信息（例如为云主机设置登录密码）。详情请参见安装并配置CloudbaseInit工具。 检查并安装PV driver和UVP VMTools驱动，确保镜像创建的新云主机同时支持KVM虚拟化和XEN虚拟化，并且可以提升云主机网络性能。 详细操作请参见优化过程（Windows）中的步骤2~步骤5。 执行Sysprep操作，确保镜像创建的新云主机加入域后SID唯一。对于集群部署场景，SID需要保持唯一。详情请参见执行Sysprep。 说明 如果待创建私有镜像的云主机使用的是公共镜像，那么默认已安装一键式重置密码插件和CloudbaseInit工具，指导中均提供了验证是否安装的方法，您可以参考相应内容确认。

在应用性能监控告警管理模块内完成钉钉机器人创建后，您可在通知策略中绑定目标钉钉群组作为告警接收方。当通知策略的匹配条件触发时，系统将自动向该钉钉群组推送告警通知；钉钉群接收通知后，即可在钉钉端内对相关告警进行后续管理与处置。 前提条件 已在钉钉客户端创建用于接收告警通知的钉钉群。 已添加自定义钉钉机器人并获取Webhook地址，具体操作，请参见【获取钉钉机器人Webhook地址】。 创建告警通知钉群 1. 登录【应用性能监控控制台】，在左侧导航栏选择告警管理 > 通知对象。 2. 单击钉钉/飞书/企微 页签，然后单击钉钉。 3. 在弹出的面板设置以下参数，然后单击确定。 参数 说明 名称 自定义钉钉机器人的名称。 签名密钥 可选，如配置了密钥则会通过加签的方式进行钉钉认证。如果没有配置密钥，默认使用关键字白名单的方式进行认证，白名单关键字为告警。 机器人地址 输入钉钉机器人的Webhook地址。 告警模板 可编辑告警模板内容，告警触发时将根据模板内容进行发送。 恢复模板 可编辑告警模板内容，告警恢复时将根据模板内容进行发送。

本节介绍了人脸识别相关的应用场景。 门禁人脸识别 随着人们生活水平的提高，人们更加注重家居环境的安全，安防观念不断加强。伴随着这种需求的提高，智能门禁系统应运而生，越来越多的企业、商铺、家庭都安装了各种各样的门禁系统。人脸检测内置于智能门禁系统，能准确识别进来人员人脸信息，提供出行方便的服务，同时有效的杜绝外来无关人员进入，保证环境安全。 市场营销企业商务 人脸识别技术在营销上主要有两方面的应用：首先，可以识别一个人的基本个人信息，例如性别、大致年龄，以及他们看过什么，看了多久等。其次，该技术可以用于识别已知的个人，例如已经加入系统的会员等人员身份识别。 酒旅出行 在机场、饭店、网吧等场所，行业人员流动频繁，通过实名认证服务，高精度核实住客身份信息，可有效对进出人员进行身份核验，快速甄别人员身份，提升场所登记效率，为居民提供更加方便、优质的服务，同时能满足企业和政府的监管需要。

本节为您介绍数据安全中心的应用场景。 满足合规场景 DSC可应用于合规场景，DSC提供了多种合规模板，包括GDPR、PCI DSS和HIPAA等，用户可以一键匹配识别这些合规规则，并生成报表供针对性整改。这样可以精准区分和保护个人数据，避免产生合规问题。 自动识别分类敏感数据 DSC可以为敏感数据进行自动识别并分类。可以从海量数据中自动发现并分析敏感数据的使用情况。通过数据识别引擎，DSC可以扫描、分类和分级储存的结构化数据（RDS）和非结构化数据（OBS），从而解决数据“盲点”，进一步加强数据的安全防护。 用户异常行为分析 DSC提供用户异常行为分析功能。通过深度行为识别引擎，DSC可以建立用户行为基线，并实时监测基线外的异常操作。用户可以实时查询行为操作，可视化行为轨迹，并识别与风险事件相关的用户操作，完善溯源审计链条。这样可以及时发现数据使用是否存在安全违规，并及时预警，从而预防数据泄露。 数据脱敏保护 DSC提供数据脱敏保护功能。通过多种预置脱敏算法和用户自定义脱敏算法，搭建数据保护引擎。可以实现非结构化数据的脱敏储存和结构化数据的静态脱敏，有效防止敏感数据的泄露。

Apache Dubbo官方发布了CVE201917564漏洞通告，漏洞等级中危，Web应用防火墙提供了对该漏洞的防护。本章节介绍Apache Dubbo反序列化漏洞的最佳实践。 漏洞介绍 CVE201917564漏洞等级为中危。当用户选择HTTP协议进行通信时，攻击者可以通过发送POST请求的时候来执行一个反序列化的操作，由于没有任何安全校验，该漏洞可以造成反序列化执行任意代码。 影响的版本范围 漏洞影响的Apache Dubbo产品版本包括： 2.7.0～2.7.4、2.6.0～2.6.7、2.5.x的所有版本。 安全版本 Apache Dubbo 2.7.5版本。 解决方案 建议您将Apache Dubbo升级到2.7.5版本。 如果您无法快速升级版本，或者希望防护更多其他漏洞，可以使用天翼云Web应用防火墙对该漏洞进行防护，请参照以下步骤进行防护： 步骤 1 申请WAF独享引擎。 步骤 2 将网站域名添加到WAF中并完成域名接入，详细操作请参见网站接入WAF。 步骤 3 将Web基础防护的状态设置为“拦截”模式，详细操作请参见配置Web基础防护规则。

本文为您介绍安全总览功能说明，以及支持查看的统计图表、数据含义。 Web应用防火墙（原生版）安全总览页面向您展示当前WAF实例中所有域名的防护统计记录、请求趋势图表以及攻击事件的分布状态等，帮助您了解网站业务的整体安全状态。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成防护对象接入并正常防护。 查询条件 在总览页面上方，选择要查询的防护对象和时间，查询总览数据。 查询条件说明： 防护对象：默认展示SaaS模式下已接入防护的相关数据，也可以查询其他模式下已接入防护的数据，或只查询某个防护对象的数据。 时间：查询时间支持选择昨天、今天、近3天、近7天、近30天或自定义时间范围的防护统计数据。 防护统计数据 防护统计数据展示了网站域名收到的全部请求次数、全部攻击次数和触发了不同防护模块的防护次数，防护模块包括Web入侵防护、CC防护、精准访问防护、BOT防护、地域访问控制、IP黑白名单、防敏感信息泄露、Cookie防篡改、攻击惩罚。 单击全部攻击次数，可以跳转至防护事件列表页，查看统计数据对应的详细攻击事件记录。

天翼云云审计服务提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑合规审计、安全分析、资源跟踪和问题定位等常见应用场景。

软件资产的合规管控 服务器上运行着各种应用系统，应用系统由不同的开发框架、中间件和开发类库等组成。在企业的安全管理规范下，实施黑名单管控机制，有些框架、中间件不可使用。 使用服务器安全卫士的资产清点分级视图，找出不合规的软件资产。如Nginx版本号小于<1.10.3属于不合规版本。 快速定位受影响的资产 新的漏洞出来以后，没有PoC检测，也没有漏洞的编号，如何在企业范围内查找受影响的资产范围，即定位该漏洞的影响范围。 通过资产清点查找受影响的资产范围，进一步查询该资产的管理员信息，进行下一步处置动作。

步骤 3：安装引导 Windows 支持三种安装方式：命令安装、安装包安装、命令+安装包安装。 【命令安装】 适用于批量安装（需支持 PowerShell 组件）。 选择 Agent 安装到的目录位置（默认为：C:Program FilesTitanAgent），选择命令执行的应用（CMD 或 Powershell），在应用中以管理员权限运行命令，即可安装 Agent。 【安装包安装】 适用于单台安装，用户可使用操作界面安装。 需下载安装包，按照安装流程操作，填入安装程序所需的"安装参数"，点击"安装"，即可安装 Agent。 【安装包+命令】 适用于批量安装，安装包分发到各主机，批量执行命令。 需下载安装包，输入安装包所在位置和 Agent 安装到的目录位置（默认为： C:Program FilesTitanAgent），才可生成安装命令；生成命令后，在 cmd 中以管理员权限运行命令，即可安装 Agent。

适用场景 应用：大规模并行处理(MPP) 数据仓库，MapReduce和Hadoop分布式计算，大数据计算 。 场景特点：适合处理海量数据、需要高I/O能力，要求快速数据交换和处理的场景。 使用场景：分布式文件系统 ，网络文件系统、日志或数据处理应用。 规格 规格名称 vCPU 内存（GiB） 最大带宽/基准带宽（Gbps） 最大收发包能力（万PPS） 网络连接数（万） 网卡多队列数 网卡个数上限 辅助网卡个数上限 本地盘（GiB） 虚拟化类型 d7.xlarge.4 4 16 5/1.7 60 50 2 3 32 2 × 3600 KVM d7.2xlarge.4 8 32 10/3.5 120 100 4 4 64 4 × 3600 KVM d7.4xlarge.4 16 64 20/6.7 240 150 4 6 96 8 × 3600 KVM d7.6xlarge.4 24 96 25/10 350 200 8 8 128 12 × 3600 KVM d7.8xlarge.4 32 128 30/13.5 450 300 8 8 192 16 × 3600 KVM d7.12xlarge.4 48 192 40/20 650 400 16 8 256 24 × 3600 KVM d7.16xlarge.4 64 256 42/27 850 500 16 8 256 32 × 3600 KVM

为了极致的使用体验,本文为您介绍可以访问公网的产品。 公有云提供弹性公网IP（EIP）、NAT网关、弹性负载均衡（ELB）等方式连接公网。 EIP EIP提供独立的公网IP资源，包括公网IP地址与公网出口带宽服务。可以与弹性云服务器、裸金属服务器、虚拟IP、弹性负载均衡、NAT网关等资源灵活地绑定及解绑。拥有多种灵活的计费方式，可以满足各种业务场景的需要。 ELB ELB将访问流量自动分发到多台弹性云服务器，扩展应用系统对外的服务能力，实现更高水平的应用容错。为负载均衡器配置需要监听的端口信息以及弹性云服务器，通过监听器来检查后端弹性云服务器的运行状态，确保将请求发送到正常的弹性云服务器上，提高系统可用性。 NAT网关 NAT网关能够为VPC内的弹性云服务器提供SNAT和DNAT功能，通过灵活简易的配置，即可轻松构建VPC的公网出入口。

参数说明 说明 计算公式 定义业务指标的计算逻辑，以便指导开发者根据计算公式设计原子指标、衍生指标。业务指标是为了指导技术指标的落地，实际并不做运算。 统计周期 指定指标的统计周期，以便指导开发者根据统计周期设计时间限定。 统计维度 可以在下拉列表中选择已经创建的维度。维度的创建请参见 统计口径和修饰词 限定是对业务场景限定抽象，用于度量范围的圈定。 刷新频率 指标数据的刷新频率。开发者或运维者可以依据指标的刷新频率，合理设置衍生指标的调度频率。 指标应用场景 描述指标的应用场景。 关联技术指标类型 下拉选择与业务指标关联的技术指标类型，包含衍生指标和复合指标。 关联技术指标 下拉选择与业务指标关联的技术指标。 度量对象 衡量该指标的度量字段。 计量单位 指标的计量单位。

本文介绍通过回调信息获取录制和截图文件的地址。 录制文件 通过录制回调参数中的【VideoUrl】参数即可获取录制文件的存储路径。默认录制回调参数如下所示： 参数名 类型 说明 UniqName string 客户标识 StreamId string 流名 AppName string 应用名 FileFormat string 录制文件格式，支持hls，mp4，flv，aac StartTime string 录制文件开始时间，Unix 时间戳格式，例如：1653901448 EndTime string 录制文件结束时间，Unix 时间戳格式，例如：1653901448 Duration string 录制文件持续时间，单位为s（秒） FileSize int 录制文件大小，单位B VideoUrl string 录制文件路径 截图文件 通过截图回调参数中的【PicUrl】参数即可获取截图文件的存储路径。默认截图回调参数如下所示： 参数名 类型 说明 UniqName string 客户标识 StreamId string 流名 AppName string 应用名 FileFormat string 截图文件格式，支持jpg，png StartTime string 截图时间，Unix 时间戳格式，例如：1653901448 FileSize int 截图文件大小，单位B Width string 截图文件宽，单位像素 Height string 截图文件高，单位像素 PicUrl string 截图文件路径