本文主要介绍设备相关策略。 功能说明 设备终端越来越多，企业的系统被各类设备访问，安全管理若无法有效区分是否是安全设备、还是非法设备，则有可能导致攻击者窃取账号后，直接使用非法设备进行登录访问，获取数据。本文主要针对设备可设定一定策略，保障企业设备管理安全。 注意 设备授信功能需要客户端版本号为2.3.x及以上，设备策略能力针对不同版本开放，点此查看 操作步骤 1. 登录边缘安全加速控制台。 2. 支持在AOne零信任、AOne终端管理工作台操作。 3. 在左侧导航栏终端终端资产设备策略，查看并管控配置。 设备共享 设定是否允许设备多人使用，避免存在安全风险。 配置说明 允许共享：开启/关闭，开启后允许授信设备共享，即不同用户可使用相同设备进行登录，可点击查看目前共享设备有多少台。 用户新设备激活 主要针对用户已绑定设备，若再使用其他新设备登录时，需要进行新设备激活，可通过旧设备认证或管理员认证激活才可使用。

撞库的防护原理 边缘安全加速平台安全与加速服务针对撞库的防护方式主要是以下两种： 频率限速：由于攻击者需要不断访问登录接口，因此可以通过异常速率来限制撞库。 用户登录信息与泄露信息库比对：将用户信息与实时更新的泄露信息库做相关数据对比，查看用户是否正在使用已暴露的密码，根据结果采取对应措施。 暴力破解是什么？ 暴力破解是指攻击者通过脚本等方式实现原有的尝试登录流程，不断重复尝试登录的一个过程，从理论上来看只要时间足够，所有的账号都有被暴力破解找到口令的可能，对普通用户爆破可以造成个人的财产损失，对网站管理员的账号爆破则可以危害公司资产。 暴力破解的防护原理 边缘安全加速平台安全与加速服务主要通过爆破行为监控来防护。 批量注册是什么？ 批量注册是指通过脚本实现原有的正式注册流程，不断重复执行注册的一个过程，可以短时间内得到目标大量的新用户，用作于ddos攻击、业务利用等非法行为。 批量注册的防护原理 注册行为监控：由于批量注册需要不断访问注册接口，因此可以通过一些基本粒度（如ip等）去统计访问行为并设置对应触发值。 注册行为挑战：通过交互方式挑战达到防护纯机器注册的效果（如验证码、行为挑战）。

本文介绍如何通过日志分析分析域名访问日志和Web攻击日志。 功能简介 日志分析模块主要是介绍和指导客户如何分析域名访问日志和Web攻击日志。为您提供一个月内的访问日志和Web攻击日志。 创建日志任务 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【数据分析】，进入【日志分析】菜单。 3. 单击页面左上角【新建日志任务】按钮。 4. 配置完成后，单击【确定】，保存日志任务。 注意 本产品相关数据从您成功配置任务后才开始生成和记录。若您尚未进行任务配置，将无法获取到任何数据。 请您在使用相关功能前，先完成任务配置，以确保正常使用。 配置项说明 配置项 说明 任务名称 配置任务的名称，支持中英文、数字、最长30个字符。 日志类型 配置需要创建的日志类型，支持配置业务访问日志和Web应用攻击日志。一个任务只能配置一种日志类型。 关联域名 配置日志任务的域名，默认为全部域名。 实时分析日志 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【运营管理】—【数据分析】，进入【日志分析】菜单。 3. 单击【日志任务列表】—【操作】中的【实时分析日志】按钮，进入实时分析日志页面。

应用性能监控(Application Performance Monitoring,APM)是天翼云可观测体系中的一款产品,能帮助您进行应用性能管理。 应用性能监控（APM）作为天翼云可观测体系中的关键产品，可以为应用、容器等不同对象提供全链路一体化的监控解决方案，帮助您实现全栈性能监控与端到端追踪诊断，为您的应用健康保驾护航。APM包含以下子能力，您在构建自己的监控体系时，可根据业务需求选择使用。 应用监控：无需修改您的应用代码，只需为应用安装探针，APM就可以为应用构建全方位监控，掌控应用运行状态，包括错、慢接口定位、性能瓶颈洞察，重现调用参数与调用链路，可帮助您大幅提升运维效率。 Prometheus监控：全面对接开源 Prometheus 生态，与云容器服务高度集成，集成丰富的容器基础监控指标，提供高可用、全托管的Prometheus监控能力，减少开发和运维成本。（目前仅华东1资源池支持Prometheus监控能力） 关键特性 可视化监控：无需配置，自动监控JVM、基础资源、URL、Exception、SQL等各类监控指标，并提供可视化图表展示。 全链路追踪：自动发现应用的上下游依赖关系，捕获计算并立体展示不同应用之间组成的调用链，进行全链路拓扑化追踪，轻松发现异常调用。 灵活告警：提供几十项告警指标配置，具备静默策略等告警收敛能力，支持短信、邮件、IM应用等多通知渠道，满足客户各场景的灵活告警诉求。 容器Prometheus监控：无缝对接天翼云云容器引擎，提供多种开箱即用的预置监控仪表盘，集成丰富的容器基础监控指标。

操作场景 Docker是当前最流行的开源容器引擎，可以让开发者将应用以及依赖包简单高效的打包至轻量级、可移植的容器中，实现更快速的应用交付、部署、迁移和扩展。 操作步骤 1. 进入轻量型云主机官网详情页，点击立即开通，进入轻量型云主机订购页。 2. 在轻量型云主机订购页，选择对应配置。 地域及可用区。建议选择接近目标客户的地域，以降低网络延迟并提高客户的访问速度。 镜像。选择应用镜像——开发工具——Docker。 规格套餐。按需选择规格套餐，包含CPU、内存、数据盘、弹性IP及带宽。 数据盘。按需选择是否要购买数据盘。 密码。可立即创建或稍后创建密码。 购买时长。按需选择订购时长，默认订购时长为1个月。 自动续订。 购买数量。按需选择购买数量，默认购买数量为1台。 3. 单击立即购买。 4. 点击详情页右上角的远程登录按钮，远程登录主机。 5. 执行如下命令拉取镜像（以Niginx为例）：docker pull nginx 6. 执行如下命令启动容器（以Niginx为例）：docker run it nginx 7. 查看容器。执行命令docker ps，显示当前正在运行的容器。

步骤三：创建工作负载 示例yaml文件podpvcdisk.yaml： shell apiVersion: apps/v1 kind: StatefulSet metadata: name: nginxpvcdisk labels: app: nginx spec: replicas: 1 selector: matchLabels: app: nginxpvcdisk serviceName: "" template: metadata: labels: app: nginxpvcdisk spec: containers: image: "registryhuadong1.crsinternal.ctyun.cn/opensource/nginx:1.26alpineslim" imagePullPolicy: "IfNotPresent" name: "nginx" resources: limits: cpu: "100m" memory: "256Mi" requests: cpu: "100m" memory: "256Mi" volumeMounts: mountPath: "/mnt/data" name: "volume1" volumes: name: "volume1" persistentVolumeClaim: claimName: "testpvc" 执行以下命令创建工作负载： shell kubectl apply f podpvcdisk.yaml 查看pv和pvc绑定状态： shell kubectl get pv kubectl get pvc 可以看到已经自动创建出了pv，并且pvc已绑定pv： 步骤四：验证数据持久化 1. 登录弹性容器服务管理控制台。 2. 在容器组列表页点击刚才创建的实例。 3. 点击“远程连接”页签，进入到容器内。 4. 向/mnt/data 目录下写一个文件，执行： shell echo "Hello World" > /mnt/data/test.log 5. 查看/mnt/data 目录下文件，执行： shell cat /mnt/data/test.log 预期结果如下： 6. 退出“远程连接”，使用kubectl删除pod，会触发pod自动重建，等待Pod重新运行正常。 shell kubectl delete po nginxpvcdisk0 7. 对新建Pod，登录弹性容器服务管理控制台，继续执行“远程连接”，进入到容器内查看数据。执行： shell cat /mnt/data/test.log 预期结果如下： 8. 以上步骤说明，pod删除重建后，重新挂载云盘，数据仍然存在，说明云硬盘中的数据可持久化保存。

卸载文件系统后，文件系统中的数据会丢失吗？ 不会，卸载只是解除了文件系统与云主机之间的关系，不会影响文件系统中的数据。您可以再次将文件系统挂载到云主机上使用。 文件系统被冻结有何影响？ 预付费用户的账户欠费会导致按量付费的文件系统实例冻结，包年包月的文件系统过期未续订会被冻结，冻结后实例保留期15天，期间若未续订或账户充值，实例将被释放，数据无法找回。 冻结之后的文件系统实例无法读写，文件系统自动卸载，此时计算服务中无法查询到挂载目录，当续订或充值之后，文件系统将自动重新挂载并恢复读写，在计算服务中将自动恢复可见，不必执行手动挂载。 前缀为.nfs的文件是什么？怎么产生的？ 当一个应用程序已经打开了某个文件时，如果删除了该文件，会在文件所在目录下生成一个前缀为.nfs的临时文件。这个临时文件是由NFS（Network File System）创建的，用于在访问进程关闭后自动删除。 为什么卸载旧弹性文件系统并重新挂载新弹性文件系统后，容器Pod仍将数据写入旧弹性文件系统？ 问题描述： 当将文件系统挂载到云主机并通过本地存储卷（HostPath）映射的方式将文件系统的挂载目录映射到容器时，容器中的挂载信息与云主机相互独立。因此，当云主机对文件系统挂载目录进行卸载或者挂载新的文件系统时，已经启动的容器仍然会使用其启动时挂载的旧弹性文件系统。 解决方案： 为了使容器能够使用新的弹性文件系统挂载目录，需要在云主机上重新挂载新的弹性文件系统，并重启容器Pod。通过这样的操作，容器将能够使用最新的弹性文件系统挂载目录。

升级手工安装Agent 如果您需要为手工安装的Agent升级，您只需要重新下载新版Agent，解压到之前的目录，将之前目录的Agent删掉即可。 升级部署在CCE容器中的Agent 如果您需要为部署在CCE容器中的JAVA应用升级安装Agent，只需要按照“快速入门> 开始监控JAVA应用>”为部署在CCE容器中的JAVA应用安装Agent”选择新版的“探针版本”重新安装即可。 升级其他类型Agent 重新安装Agent即可。

删除安全组 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>访问控制>安全组】，查看当前用户下已有的安全组，在需要删除的安全组的操作栏中单击【删除】，在删除弹框中单击【确认】执行删除。只允许删除自助创建的安全组。

服务名称 弹性文件服务 与其他服务之间的关系 相关内容 弹性云主机/物理机 文件系统不可独立使用，须挂载至同一VPC下的弹性云主机、物理机等计算服务后进行访问和读写。 容器 弹性文件服务可为容器应用提供共享存储，可以满足用户容器高可用和容器数据持久化存储及备份需求。 虚拟私有云 虚拟私有云VPC为弹性文件服务构建隔离的、用户自主配置和管理的虚拟网络环境，提升用户云中资源的安全性，简化用户的网络部署。计算服务无法访问不在同一VPC下的文件系统，使用弹性文件服务时需将文件系统和计算服务归属于同一VPC下。 云监控 当用户开通了弹性文件服务后，无需额外安装其他插件，即可在云监控查看对应服务的性能指标，包括读带宽、写带宽和读写带宽等。

本节介绍服务器安全卫士（原生版）产品咨询相关常见问题。 什么是服务器安全卫士（原生版）？ 什么是网页防篡改（原生版）？ 服务器安全卫士（原生版）是否有版本区分？主要功能有何不同？ 服务器安全卫士（原生版）都支持哪些资源池的服务器防护？ 服务器安全卫士（原生版）与Web应用防火墙（原生版）有什么区别？ 服务器安全卫士（原生版）是否可以申请试用？ 服务器安全卫士（原生版）企业版到期后不续费会对业务造成影响吗？ 服务器安全卫士（原生版）企业版回归基础版后，是否需要重新安装Agent与配置主机防护信息？ 服务器安全卫士（原生版）企业版到期回归基础版后，历史安全事件记录是否仍可查看？ 天翼云服务器安全卫士（原生版）支持跨区域使用吗？ 服务器安全卫士（原生版）与非云原生的主机安全软件有何区别？ 服务器安全卫士（原生版）购买后遇到问题如何解决？ [服务器安全卫士（原生版）软件版本、病毒库、漏洞库等需要手动更新吗？](

本文为您介绍如何在ECI实例中查看GPU信息。 背景信息 nvidiasmi是NVIDIA System Management Interface的缩写，是一种用于监视和管理NVIDIA GPU的命令行工具。它提供了有关GPU的详细信息，包括GPU的使用情况、温度、电源消耗、驱动程序版本等。通过nvidiasmi，可以了解GPU的性能和健康状况，以及识别任何可能的问题。使用nvidiasmi，可以完成下列管理： 监视GPU的使用情况：nvidiasmi可以显示GPU的当前使用率、内存使用情况、温度和功耗等信息。这对于调试和优化GPU应用程序非常有用。 管理GPU的电源消耗：nvidiasmi可以显示GPU的功耗和电源限制，并允许您调整GPU的电源模式和限制，以平衡性能和功耗之间的关系。 检查驱动程序版本：nvidiasmi可以显示已安装的NVIDIA驱动程序的版本号，以便您了解驱动程序是否需要更新。 监控GPU的温度：nvidiasmi可以提供GPU的温度信息，帮助您确保GPU在安全的温度范围内运行。 前期准备 已开通天翼云弹性容器实例服务。 ECI容器镜像中已安装nvidia显卡驱动。 操作步骤 下面将介绍如何在ECI实例中使用nvidiasmi工具查看GPU信息： 1. 通过天翼云弹性容器实例订购页面创建ECI GPU实例。 2. 选择已安装nvidia显卡驱动的容器镜像。 3. 在ECI控制台管理页面进入实例详情。 4. 点击“远程连接”标签，当容器连接成功后，执行nvidiasmi命令即可查看GPU信息，如下图所示：

源数据库 可恢复到的版本 2014 标准版、2014 企业版 2014 标准版、2014 企业版、2016 标准版、2016 企业版、2017 标准版、2017 企业版、2019 标准版、2019 企业版、2022 标准版、2022 企业版 2016 标准版、2016 企业版 2016 标准版、2016 企业版、2017 标准版、2017 企业版、2019 标准版、2019 企业版、2022 标准版、2022 企业版 2017 标准版、2017 企业版 2017 标准版、2017 企业版、2019 标准版、2019 企业版、2022 标准版、2022 企业版 2017 WEB版 2017 WEB版、2017 标准版、2017 企业版、2019 WEB版、2019 标准版、2019 企业版、2022 WEB版、2022 标准版、2022 企业版 2019 标准版、2019 企业版 2019 标准版、2019 企业版、2022 标准版、2022 企业版 2019 WEB版 2019 WEB版、2019 标准版、2019 企业版、2022 WEB版、2022 标准版、2022 企业版 2022 标准版、2022 企业版 2022 标准版、2022 企业版 2022WEB版 2022 WEB版、2022 标准版、2022 企业版

名称 描述 Owner Bucket所属账户的信息。 ID Bucket所属账户的ID。 Buckets 存储一个或多个Bucket的容器。 Bucket 存储Bucket信息的容器。 Name Bucket的名称。 CreationDate Bucket的创建日期。

配置项 说明 示例值 Bucket 已创建的OSS Bucket。 bucketname 挂载目录 已创建的OSS目录或OSS对象。如果OSS挂载目录不存在，会触发异常。 示例如下： / tmp/osstest/ tmp/ossdemo.log 容器路径 SAE的容器路径。如果路径已存在，会覆盖原有路径；如果路径不存在，会新建路径。 /home/admin/app/php/ 权限 容器路径对挂载目录资源的权限，取值如下： 只读 读写 只读

产品 日志类型 云堡垒机（原生版）企业版 云堡垒机（原生版）资产登录 云堡垒机（原生版）企业版 云堡垒机（原生版）资产登出 云堡垒机（原生版）企业版 云堡垒机（原生版）剪切板操作 云堡垒机（原生版）企业版 云堡垒机（原生版）字符命令 云堡垒机（原生版）企业版 云堡垒机（原生版）文件操作 云堡垒机（原生版）企业版 云堡垒机（原生版）键盘操作 云堡垒机（原生版）企业版 云堡垒机（原生版）平台登录 云堡垒机（原生版）企业版 云堡垒机（原生版）平台登出 云堡垒机（原生版）企业版 云堡垒机（原生版）平台操作 云堡垒机（原生版）企业版 云堡垒机（原生版）数据库操作 服务器安全卫士（原生版） 服务器安全卫士（原生版）漏洞信息 服务器安全卫士（原生版） 服务器安全卫士（原生版）弱口令 服务器安全卫士（原生版） 服务器安全卫士（原生版）告警日志 数据库审计 数据库审计告警日志 云等保专区v1.0 云等保专区数据库审计 云等保专区v1.0 云等保专区主机安全 云等保专区v1.0 云等保专区下一代防火墙 云等保专区v1.0 云等保专区堡垒机 云等保专区v1.0 云等保专区Web应用防火墙 Web应用防火墙（原生版） Web应用防火墙（原生版）告警日志 云防火墙（原生版） 云防火墙（原生版）威胁日志

本节主要介绍网络ACL关联子网。 使用说明 一个子网只能关联其所属VPC下的网络ACL。 一个子网可以按需关联网络ACL，但只能关联一个网络ACL，具有相同访问控制的多个子网可以关联到一个网络ACL。 网络ACL关联或解关联子网 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>访问控制>网络ACL】，选择对应的地域，查看当前已创建的网络ACL。 3. 选中所要关联子网的网络ACL，单击对应操作栏中的【关联管理】，进入网络ACL的详情页。 4. 单击【关联管理>添加子网关联】，在弹出框中勾选该网络ACL所属虚拟私有云下未关联其他网络ACL的子网，单击【提交】执行关联。 5. 单击【关联管理】查看当前网络ACL已关联的子网，选中所要解除关联的子网列表，在对应的操作栏中单击【取消关联】，在弹出框中单击【确定】执行取消关联。 查看网络ACL中已关联的子网 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>访问控制>网络ACL】，选择对应的地域，查看已创建的网络ACL。 3. 选中所要查看关联子网的网络ACL，单击网络ACL的名称进入详情页。 4. 单击【关联管理】查看当前网络ACL下已关联的子网。

操作步骤 病毒防御策略 企业管理员可以在病毒防御策略中进行周期扫描、下发扫描、实时防护、U盘防护查看病毒库更新日期。 周期扫描 1. 登录边缘安全加速控制台，进入【终端管理】或者【零信任】； 2. 在左侧导航栏点击【终端安全】里【终端防病毒】； 3. 周期扫描卡片中点击“扫描策略”进行配置，任务根据右侧开关生效扫描任务； 4. 弹出弹窗，在周期扫描策略中，企业管理员可以选择查杀方式（快速扫描、全盘扫描），客户端在配置的扫描时间段内上线，就会触发病毒查杀任务； 5. 企业管理员可以选择文件类型、文件限制、性能模式进行查杀； 6. 企业管理员可以选择以下处置方式进行处置病毒文件； 7. 扫描对象中支持多个维度（组织、用户组、用户、设备）勾选； 8. 创建的扫描任务可在列表中查看。

步骤二：创建元数据导入任务 1.登陆管理控制台。 2.在管理控制台左上角单击，选择区域（请选择Kafka实例所在的区域）。 3.在管理控制台左上角单击，选择“企业中间件 > 分布式消息服务Kafka版”，进入分布式消息服务Kafka控制台页面。 4.单击集群迁移>元数据迁移>单击创建任务，进入实例详情页面。 5.输入任务名称，选择目标实例，单击上传元数据文件。 6.点击下一步，到Topic编辑页面，这里可以手动增加、删除、修改topic 7.点击下一步，到group编辑页面，这里可以手动增加、删除、修改group 8.点击创建，这样就生成了一条元数据迁移任务 步骤三：查看迁移结果 1.在左侧导航栏，单击实例列表。 2.在实例列表页面，单击目标实例名称。 3.查看资源列表。 4.在左侧导航栏，单击Topic 管理 ，在Topic 管理页面的Topic列表中查看已创建的Topic。 5.在左侧导航栏，单击消费组管理 ，在消费组管理页面的Group列表中查看已创建的Group。

本节介绍企业主机安全应用进程控制功能。 应用进程控制概述 应用进程控制功能支持管控应用进程运行，通过学习服务器中运行的应用进程特征，将应用进程划分为可信进程、恶意进程和可疑进程，允许可疑、可信进程正常运行，对恶意进程运行进行告警，帮助用户构建安全的应用进程运行环境，避免服务器遭受不受信或恶意应用进程的破坏。 使用约束 使用应用进程控制功能须满足以下条件： 服务器已开启HSS旗舰版、网页防篡改版或容器版防护。 服务器已安装Agent的版本为以下版本，升级Agent的操作，请参见升级Agent章节。 − Linux：3.2.7及以上版本。 − Windows：4.0.19及以上版本。 应用进程控制使用流程 创建白名单策略 在开启应用进程控制防护前，您需要为服务器创建白名单策略，设置HSS学习服务器应用进程特征的学习天数、学习结果确认方式和对可疑或恶意进程的防护动作等；HSS后续将根据策略设置为服务器提供相应的应用进程控制防护能力。 操作步骤 1、登录管理控制台。 2、在左侧导航栏，选择“主动防御 > 应用进程控制”，进入“应用进程控制”界面。 3、选择“白名单策略”页签，单击“创建策略”。 4、在“创建策略”弹窗中，设置策略参数，相关参数说明请参见下表。 参数名称 参数说明 策略模式 应用进程控制防护策略模式。 默认配置下日常运营模式允许可信、可疑进程运行，仅对恶意进程进行告警。 白名单策略名称 系统默认会生成白名单策略名称，建议您自定义修改，后续方便区分和管理。 智能学习天数 企业主机安全学习服务器应用进程的天数。学习天数越多，学习结果越准确。 学习结果确认方式 当企业主机安全学习完策略关联的服务器后，对于特征不明显可疑进程的确认方式。 自动确认可疑进程：HSS根据应用进程特征库，自动确认并标记特征不明显的可疑应用进程。 手动确认可疑进程：您在“应用进程控制 > 白名单策略”页面，单击策略名称，进入策略详情页，选择“进程文件”页签，筛选“待确认状态”的进程，根据实际业务情况确认并手动标记特征不明显的可疑进程。 策略生效方式 当企业主机安全学习完策略关联的服务器后，开启应用进程控制的方式。 学习完成后自动开启：系统自动开启策略关联的服务器的应用进程控制。 学习完成后手动开启：您根据业务情况手动开启应用进程控制。 防护动作 当发现恶意进程后的防护动作。对恶意进程进行告警。 选择服务器 选择需要防护的服务器。当服务器的防护状态为“防护中”时，才会在列表中呈现。 5、单击“确认”，完成创建。 您策略列表中可以查看已创建的策略及策略当前状态。 说明 创建白名单策略完成后，HSS会自动开始对策略关联的服务器进行学习，学习服务器中的应用进程特征。待策略状态变更为“学习完成，未生效”表示学习完成。

本文向您介绍如何使用边缘安全加速平台安全与加速服务提供的IPv6支持度检测功能。 功能介绍 支持IPv6支持度检测功能，能够针对IPv6域名解析、网站首页IPv6访问、网站二级/三级链接IPv6支持度进行检测，并输出检测结果以及改进建议。 注意：仅针对已接入域名提供IPv6支持度检测服务。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 检测对象 检测网址：可以从域名列表选择需要IPv6检测的域名，也可以自定义输入已接入域名下的网址，支持输入域名或URL格式。 检测项 IPv6域名解析：支持检测域名是否支持IPv6解析，若不支持，则建议前往域名列表开启IPv6解析功能。 网站首页IPv6访问：支持检测网站首页是否支持IPv6访问，若不支持，则建议开通站点外链替换功能，实现IPv6 访问。 网站二级链接IPv6支持度:支持检测网站二级链接是否支持IPv6访问，若不支持，则建议开通站点外链替换功能，实现IPv6 访问。 网站三级链接IPv6支持度:支持检测网站三级链接是否支持IPv6访问，若不支持，则建议开通站点外链替换功能，实现IPv6 访问。

实例类型 数据库版本 性能类型 CPU 内存 单机版 标准版 通用型 2 4 单机版 标准版 通用型 2 8 单机版 标准版 通用型 4 8 单机版 标准版 通用型 4 16 单机版 标准版 通用型 8 16 单机版 标准版 通用型 8 32 单机版 标准版 通用型 16 32 单机版 标准版 通用型 16 64 单机版 标准版 计算增强型 2 8 单机版 标准版 计算增强型 4 8 单机版 标准版 计算增强型 4 16 单机版 标准版 计算增强型 8 16 单机版 标准版 计算增强型 8 32 单机版 标准版 计算增强型 16 32 单机版 标准版 计算增强型 16 64 单机版 标准版 内存优化型 2 16 单机版 标准版 内存优化型 4 32 单机版 标准版 内存优化型 8 64 单机版 标准版 内存优化型 16 128 单机版 企业版 通用型 2 4 单机版 企业版 通用型 2 8 单机版 企业版 通用型 4 8 单机版 企业版 通用型 4 16 单机版 企业版 通用型 8 16 单机版 企业版 通用型 8 32 单机版 企业版 通用型 16 32 单机版 企业版 通用型 16 64 单机版 企业版 计算增强型 1 2 单机版 企业版 计算增强型 1 4 单机版 企业版 计算增强型 2 4 单机版 企业版 计算增强型 2 8 单机版 企业版 计算增强型 4 8 单机版 企业版 计算增强型 4 16 单机版 企业版 计算增强型 8 16 单机版 企业版 计算增强型 8 32 单机版 企业版 计算增强型 16 32 单机版 企业版 计算增强型 16 64 单机版 企业版 内存优化型 1 8 单机版 企业版 内存优化型 2 16 单机版 企业版 内存优化型 4 32 单机版 企业版 内存优化型 8 64 单机版 企业版 内存优化型 16 128 单机版 企业版 内存优化型 24 192 单机版 企业版 内存优化型 32 256 单机版 企业版 内存优化型 64 512 单机版 企业版 内存优化型 96 768 单机版 WEB版 通用型 2 4 单机版 WEB版 通用型 2 8 单机版 WEB版 通用型 4 8 单机版 WEB版 通用型 4 16 单机版 WEB版 通用型 8 16 单机版 WEB版 通用型 8 32 单机版 WEB版 计算增强型 2 4 单机版 WEB版 计算增强型 2 8 单机版 WEB版 计算增强型 4 8 单机版 WEB版 计算增强型 4 16 单机版 WEB版 计算增强型 8 16 单机版 WEB版 计算增强型 8 32 单机版 WEB版 计算增强型 16 32 单机版 WEB版 计算增强型 16 64 单机版 WEB版 内存优化型 2 16 单机版 WEB版 内存优化型 4 32 单机版 WEB版 内存优化型 8 64 主备版 标准版 通用型 2 4 主备版 标准版 通用型 2 8 主备版 标准版 通用型 4 8 主备版 标准版 通用型 4 16 主备版 标准版 通用型 8 16 主备版 标准版 通用型 8 32 主备版 标准版 通用型 16 32 主备版 标准版 通用型 16 64 主备版 标准版 计算增强型 2 8 主备版 标准版 计算增强型 4 8 主备版 标准版 计算增强型 4 16 主备版 标准版 计算增强型 8 16 主备版 标准版 计算增强型 8 32 主备版 标准版 计算增强型 16 32 主备版 标准版 计算增强型 16 64 主备版 标准版 内存优化型 2 16 主备版 标准版 内存优化型 4 32 主备版 标准版 内存优化型 8 64 主备版 标准版 内存优化型 16 128 主备版 企业版 计算增强型 1 2 主备版 企业版 计算增强型 1 4 主备版 企业版 计算增强型 2 8 主备版 企业版 计算增强型 4 16 主备版 企业版 计算增强型 4 16 主备版 企业版 计算增强型 8 16 主备版 企业版 计算增强型 8 32 主备版 企业版 计算增强型 16 32 主备版 企业版 计算增强型 16 64 主备版 企业版 计算增强型 32 128 主备版 企业版 计算增强型 64 256 主备版 企业版 内存优化型 1 8 主备版 企业版 内存优化型 2 16 主备版 企业版 内存优化型 4 32 主备版 企业版 内存优化型 8 64 主备版 企业版 内存优化型 16 128 主备版 企业版 内存优化型 24 192 主备版 企业版 内存优化型 32 256 主备版 企业版 内存优化型 64 512 主备版 企业版 内存优化型 96 768

本文主要介绍CCE控制台的权限依赖。 CCE对其他云服务有诸多依赖关系，因此在您开启IAM系统策略授权后，在CCE Console控制台的各项功能需要配置相应的服务权限后才能正常查看或使用，详细说明如下： 依赖服务的权限配置均基于您已设置了IAM系统策略授权的CCE FullAccess或CCE ReadOnlyAccess策略权限，详细设置方法请参见集群权限（IAM授权）。 1.11.7r2及以上版本的集群，显示情况依赖于命名空间权限的设置情况，如果没有设置命名空间权限，则无法查看集群下的资源。 如果您设置了全部命名空间的view权限，则可以查看到对应集群的全部命名空间下的资源，但密钥 ( Secret )除外，密钥 ( Secret )需要在命名空间权限下设置admin或者edit权限才能查看。 CustomedHPA与HPA策略需要配置命名空间clusteradmin权限下才能生效。 如果您设置的是单一命名空间的view权限，则看到的只能是指定命名空间下的资源。 依赖服务的权限设置 如果IAM用户需要在CCE Console控制台拥有相应功能的查看或使用权限，请确认已经对该用户所在的用户组设置了CCE Administrator、CCE FullAccess或CCE ReadOnlyAccess策略的集群权限，再按下表增加依赖服务的角色或策略。 说明 企业项目能够实现企业不同项目间资源的分组和管理，重在资源隔离，而IAM可以实现细粒度授权，因此强烈推荐您使用IAM实现权限管理。 若您使用企业项目设置子用户权限，会有如下功能限制： 在CCE控制台，集群监控获取AOM监控的接口暂不支持企业项目，因此企业项目子用户将无法查看监控相关数据。 在CCE控制台，由于创建节点时的密钥对查询接口不支持企业项目，因此企业项目子用户将无法使用“密钥对”登录方式，您可以选择使用“密码”登录方式。 为企业项目设置CCE FullAccess 权限后，需要在IAM控制台界面中再配置ecs:availabilityZones:list权限，企业项目子用户创建节点才可以正常显示并创建，否则将提示没有ecs:availabilityZones:list权限。 CCE支持细粒度的权限设置，但有如下限制说明： AOM不支持资源级别细粒度：当通过IAM集群资源细粒度设置特定资源操作权限之后，IAM用户在CCE控制台的总览界面查看集群监控时，将显示非细粒度关联集群的监控信息。 在IAM页面设置CCE FullAccess 或者CCE ReadOnlyAccess权限后，需要配置 sfsturbo::权限才能使用极速文件存储卷，否则IAM用户在集群下查询极速文件存储卷将失败。 CCE Console中依赖服务的角色或策略 Console控制台功能 依赖服务 需配置角色/策略 总览 应用运维管理AOM IAM用户设置了CCE Administrator权限后，需要增加AOM FullAccess权限后才能访问总览中的数据图表。 支持设置了IAM ReadOnlyAccess和CCE FullAccess或CCE ReadOnlyAccess权限的IAM用户直接访问总览中的数据图表。 工作负载 弹性负载均衡ELB 应用运维管理AOM NAT网关 NAT 对象存储服务OBS 弹性文件服务SFS 正常创建工作负载时不依赖其他服务的权限。 如果需要创建ELB类型的服务，需要设置ELB FullAccess或者ELB Administrator权限，以及VPC Administrator权限。 如果需要使用Java探针，需要设置AOM FullAccess权限。 如果需要NAT网关类型的服务，需要设置NAT Gateway Administrator权限。 如果使用对象存储，需要全局设置OBS Administrator权限。说明由于缓存的存在，对用户、用户组以及企业项目授予OBS相关的RBAC策略后， 大概需要等待13分钟RBAC策略才能生效；授予OBS相关的系统策略后，大概需要等待5分钟系统策略能生效。l 如果使用文件存储，需要设置SFS FullAccess权限。 集群管理 应用运维管理AOM 如果需要弹性扩容权限，需要设置AOM FullAccess权限。 节点管理 弹性云主机ECS 当IAM用户权限为CCE Administrator时，如果创建和删除节点，需要配置ECS FullAccess或ECS Administrator权限，以及VPC Administrator权限。 网络管理 弹性负载均衡ELBNAT网关 NAT 正常创建时不依赖其他服务的权限。 如果需要创建ELB类型的服务，需要设置ELB FullAccess或者ELB Administrator权限，以及VPC Administrator权限。 如果需要NAT网关类型的服务，需要设置NAT Administrator权限。 存储管理 对象存储服务OBS弹性文件服务SFS 如果使用对象存储，需要全局设置OBS Administrator权限。 说明br由于缓存的存在，对用户、用户组以及企业项目授予OBS相关的RBAC策略后，大概需要等待13分钟RBAC策略才能生效；授予OBS相关的系统策略后，大概需要等待5分钟系统策略能生效。 如果使用文件存储，需要设置SFS FullAccess权限。 如果使用极速文件存储，需要设置SFS Turbo Admin权限导入存储的功能需要设置CCE Administrator权限。 命名空间 / 无需其他依赖权限。 模板市场 / 当前仅支持帐号、设置了CCE Administrator权限的IAM用户访问。 插件管理 / 支持帐号、设置了CCE Administrator、CCE FullAccess或CCE ReadOnlyAccess等权限的IAM用户访问本功能。 权限管理 / 支持帐号访问。 支持设置了CCE Administrator和Security Administrator（全局级策略）权限的IAM用户访问。 支持设置了CCE FullAccess或CCE ReadOnlyAccess权限的IAM用户访问。 配置中心 / 配置项( ConfigMap )无需其他依赖权限。 密钥( Secret )需要在命名空间权限下设置clusteradmin、admin或者edit权限才能查看，依赖服务需要添加DEW KeypairFullAccess或者DEW KeypairReadOnlyAccess权限。 帮助中心 / 无需其他依赖权限。 其他服务跳转 容器镜像服务SWR应用运维管理AOM 为便于您快速进入CCE相关服务的控制台，在CCE控制台增加了其他服务的跳转链接，CCE默认没有这些服务的全部权限，如果IAM用户需要查看或使用其功能，请按照该服务的权限策略说明设置相应的权限策略。

场景三：网站被恶意盗刷 当网站被恶意盗刷时，也会消耗全站加速的带宽资源，易产生突发带宽。 潜在风险提示 当举行大型推广营销活动、域名受到恶意攻击或者网站被盗刷时，产生的突发带宽实际消耗了天翼云全站加速的带宽资源，所以需要客户自行承担因此产生的流量、带宽、请求数的费用。 建议应对方案 方法一：设置可用额度告警 通过对客户在天翼云官网账户的可用额度预警进行设置，当用户的余额低于阈值，系统会发送短信提醒。操作步骤如下： 1. 登录天翼云账户。 2. 单击右上角。 3. 单击【费用中心】。 4. 打开【可用额度预警】开关，修改预警阈值，当用户的余额低于阈值，系统会发送短信提醒。 方法二：开通安全防护功能 如果您的加速域名有被攻击风险或正在遭受攻击，建议购买天翼云边缘安全加速平台的相关产品保证域名的正常使用。详见：边缘安全加速平台。

IPv6带宽可绑定多种云资源,本文向您介绍将IPv6带宽绑定至云资源的操作步骤。 如果您所购买的双栈云主机需要绑定IPv6带宽，实现IPv6地址访问公网能力，您可以参考此说明。 前提条件 要绑定的云资源与该IPv6带宽为同一资源池； 被绑定的IPv6带宽没有绑定其他云资源，且为正常状态。 操作须知 绑定IPv6带宽不需要对虚拟机进行关机，绑定成功后实时生效。 操作步骤 1. IPv6带宽可绑定云主机、物理机及负载均衡，其中，仅有支持双栈网卡的主机可绑定IPv6带宽。 2. 搭建IPv6专有网络，需要在创建VPC之前，根据具体的业务需求规划VPC的数量、子网的数量和IP网段划分等。 3. 登录控制台虚拟私有云页面，创建VPC，在对子网配置时，请务必勾选“开启IPv6”，将自动为子网分配IPv6网段。该功能一旦开启，将不能关闭，暂不支持自定义设置IPv6网段。 4. 开通云主机的IPv6网络访问能力，则需要在创建云主机时，网卡绑定开启了IPv6地址的VPC及子网，将自动为该网卡分配IPv6地址。 5. 要使该主机具备访问IPv6互联网的能力，则需将该实例与IPv6带宽进行绑定。进入网络控制台，在IPv6带宽列表找到待绑定IPv6带宽，单击操作列中的【绑定】按钮； 6. 在弹窗中的资源列表中，选择需要绑定的主机网卡，选择完毕后点击【确定】完成绑定操作，如下图所示：

介绍分布式消息服务Kafka认证与访问控制方式 分布式消息服务Kafka支持CTIAM身份认证和多种访问控制，多维度保障您数据的安全。 身份认证 CTIAM 统一身份认证（Identity and Access Management， 简称：CTIAM）是提供用户进行权限管理的基础服务，可以帮助您安全的控制天翼云服务和资源的访问及操作权限，包括：用户身份认证、权限分配、访问控制等功能。具体介绍请参考统一身份认证产品介绍。 您可以创建IAM用户，并为其设置关联分布式消息服务Kafka实例权限，该用户就可以通过用户名和密码访问授权的实例资源。具体请参见统一身份认证快速入门创建IAM用户。 访问控制 权限控制 购买分布式消息服务Kafka实例之后，您可以使用CTIAM为企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，通过CTIAM进行精细的权限管理。 VPC和子网 虚拟私有云（Virtual Private Cloud，VPC）为分布式消息服务Kafka构建隔离、私密的虚拟网络环境，提升数据库的安全性，并简化用户的网络部署。您可以完全掌控自己的专有网络，VPC丰富的功能帮助您灵活管理云上网络，包括创建子网、设置安全组和网络ACL、管理路由表、申请弹性公网IP和带宽等。通过子网与其他网络隔离，独享网络资源，提高网络安全性。具体内容请参见虚拟私有云用户指南创建虚拟私有云和子网 。 安全组 安全组是一个逻辑上的分组，可以为同一个虚拟私有云内具有相同安全保护需求并相互信任的Kafka实例提供相同的访问策略。您可以通过为数据库实例设置安全组，开通需访问Kafka实例的IP地址和端口，来保证保障其运行环境的安全性和稳定性。具体请参见配置安全组

在使用GPU云主机进行推理时,vLLM版本会影响计算性能与功能支持,Open WebUI版本关系着用户交互体验与功能兼容性。本文提供完整升级指南,进一步增强系统稳定性、界面功能完整及性能最优。 一、Open WebUI升级指南 1. 查看现有版本 plaintext docker exec it openwebui bash c "cat /app/package.jsongrep version" 2. 版本升级 （1）登录云主机，下载最新容器镜像 plaintext docker pull ghcr.nju.edu.cn/openwebui/openwebui:v0.6.5 （2）删除旧镜像 查看当前容器镜像 删除旧容器镜像 plaintext docker image rm ghcr.nju.edu.cn/openwebui/openwebui:cuda 查看更新后的容器镜像 3. 修改启动openwebui命令参数 plaintext vi /root/.startwebui.sh 修改后内容如图 4. 清理容器 plaintext docker ps a docker rm f openwebui

本文介绍ECI实例如何绑定公网EIP。 默认情况下，系统只为ECI实例分配一个私网IP，如果ECI实例需要拉取公网镜像，可以为其绑定EIP，使得ECI实例与公网互通。 背景信息 为ECI实例配置公网连接时，支持以下方式： 配置方式 说明 适用场景 绑定EIP EIP是独立购买的可单独持有的公网IP地址，可以为绑定的ECI实例提供公网服务 例如：您有一个ECI实例用于部署Nginx服务，在创建实例时，您需要为该实例绑定EIP。当Nginx启动时，将自动暴露80端口到EIP。您可以通过EIP地址加端口的方式访问Nginx服务 配置说明 当用户创建ECI实例时，支持为ECI实例绑定已有的EIP： 1. 在弹性容器实例控制台左侧导航栏中选择“容器组”，进入容器组列表页。 2. 点击“创建弹性容器组”，进入弹性容器实例订购页。 3. 在“其他配置”中，可以通过【自动创建】和【使用已有】两种方式为ECI实例绑定EIP。 1. 使用已有：通过下拉列表选择待绑定的EIP。如果用户没有已创建的EIP，平台也支持跳转到EIP控制台页面进行创建，待EIP创建完毕后，点击刷新按钮，即可选择新创建的EIP资源。 2. 自动创建：在创建ECI实例时，通过委托方式为用户创建一个自定义带宽的EIP，用户可根据需求指定带宽大小。在ECI实例生命周期内，该EIP不可更改，且当ECI实例被删除时，EIP也同步释放删除。

本节主要介绍如何使用API升级HBlock。 此操作用来升级HBlock。 说明 可以通过查询升级进度接口查询升级服务是否完成。 升级过程中系统会做检查，如果不符合升级条件，可能会导致升级失败，升级失败的原因可以在执行升级操作的服务器上查看日志upgrade.log（日志路径：HBlock安装目录/logs/ops/upgrade.log）。建议升级之前对系统进行检查，确保： 所有状态正常： 所有HBlock服务器连接正常，没有处于删除状态的服务器。 HBlock处于working、upgrading状态。 如果软件许可证是订阅模式，需在有效期内；如果软件许可证是永久许可模式，需在维保期限内；如果处于试用期，需试用期未结束。 如果卷是高可用类型，至少保证卷的主备连接正常。 没有处于失败或者任务进行中状态的卷。 系统整体数据冗余度不降级，正常数据百分比为100%。并且，可用故障域数量和健康数量大于所有卷的写入需求。 升级监听服务（stor:ua）正常。 协议解析服务（stor:ps）正常。 基础服务正常：元数据管理服务（stor:mdm）、日志服务（stor:ls）、协调服务（stor:cs）。 HBlock使用的磁盘不存在Error状态。 注意 执行升级HBlock前，确保每个服务器的HBlock安装路径对应的文件系统，存在至少1 GiB的可用空间。 如果集群由不同架构服务器组成，请添加所有架构的升级文件，并保持版本一致。 请求语法 同架构升级： plaintext PUT /rest/v1/system/upgrade HTTP/1.1 Date: date ContentType: application/zip ContentLength: length xupdateparameter: key1value1;key2value2 Host: ip:port Authorization: authorization 混合部署升级（仅集群版支持）： plaintext POST /rest/v1/system/upgrade HTTP/1.1 Date: date ContentType: multipart/formdata; boundaryvalue ContentLength: length ContentMD5: MD5 xupdateparameter: key1value1;key2value2 Host: ip:port Authorization: authorization upgradeFile1name:upgradeFile1 upgradeFile2name:upgradeFile2 ……

本页为您介绍WPS云文档天翼云版的计费项 WPS云文档天翼云版 标准版365/元/人/年 WPS云文档天翼云版 高级版599/元/人/年 WPS云文档天翼云版 基础版168/元/人/年 WPS云文档天翼云版 WPS会员89/元/人/年 WPS云文档天翼云版 稻壳会员 89/元/人/年 WPS云文档天翼云版 超级会员179/元/人/年 WPS云文档天翼云版 咨询服务8100元/人/天

本文介绍了DDoS防护超过订购规格时如何设置不同的策略。 背景信息 当实际的DDoS攻击流量超过了客户所订购的套餐规格（包括套餐内DDoS防护次数、DDoS防护带宽扩展服务、弹性防护），客户安全与服务下的所有域名将触发超量处置机制。用户可对不同的域名，设置不同的处置机制。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 操作步骤 1. 登录边缘安全加速平台控制台，进入【安全与加速】工作台。 2. 在左侧导航栏中选择【安全能力】，进入【DDoS防护】菜单，并在左侧域名列表选择您要配置的域名。 配置说明 超量处置机制支持设置解析至源站地址、解析至黑洞地址。 解析至黑洞地址：该域名对应的CNAME将解析到黑洞地址，客户端解析出来的IP不可访问，该域名所有的请求将被丢弃。 解析至源站地址：该域名对应的CNAME将解析到客户配置的源站IP，客户端访问该域名的请求将直接到达源站服务器。

说明 若租户需要接入日志服务（传入了日志参数），ECI会通过ITIAM创建名为eciAgentAlsDelegate的委托，拿到临时AKSK，并持续续约，直至该租户在该资源池所有ECI实例都退订。 若用户需要接入日志服务（传入了日志参数），ECI会检查该租户在该资源池是否订购了云日志服务，若没有订购，ECI会替租户订购该资源池的云日志服务。 每个容器可以有多组 Ctyunlogseci{key}，对应不同的日志采集路径。 若租户传入的 Ctyunlogseci{key} 中的key在云日志已经存在，ECI不会再创建采集规则，请确保采集规则内容正确。 ECI创建的日志资源在退订ECI实例时不会回收，请租户自行回收避免额外日志计费。 若传入的环境变量命名不符合上述规范，ECI将忽略该环境变量创建对应的默认日志资源。 任何不提供Ctyunlogseci{key}的输入组都会被忽略，比如提供了Ctyunlogseci{key}project 但没有提供Ctyunlogseci{key}，ECI将会忽略该组值，因为ECI不知道采集路径。 示例 1. 容器container1采集标准输出日志。 shell containers: env: name: Ctyunlogseciecialsdefaultlogrulestdoutyfgw9480 value: stdout image: registrytest.crsinternal.ctyun.cn/opensource/tomcat:9.0jdk8corretto name: container1 2. 容器container2采集标准输出日志并指定日志项目、日志单元。 shell containers: env: name: Ctyunlogseciecialsdefaultlogrulestdoutyfgw9480 value: stdout name: Ctyunlogseciecialsdefaultlogrulestdoutyfgw9480project value: myproject name: Ctyunlogseciecialsdefaultlogrulestdoutyfgw9480unit value: myunit image: registrytest.crsinternal.ctyun.cn/opensource/tomcat:9.0jdk8corretto name: container2 3. 容器container3采集容器内指定文件日志。 shell containers: env: name: Ctyunlogseciecialsdefaultlogrulefilesvba7129 value: /var/log/.log image: registrytest.crsinternal.ctyun.cn/opensource/tomcat:9.0jdk8corretto name: container3 4. 容器container4采集容器内指定文件日志并指定日志项目、日志单元。 shell containers: env: name: Ctyunlogseciecialsdefaultlogrulefilesvba7129 value: /var/log/.log name: Ctyunlogseciecialsdefaultlogrulefilesvba7129project value: someproject name: Ctyunlogseciecialsdefaultlogrulefilesvba7129unit value: someunit image: registrytest.crsinternal.ctyun.cn/opensource/tomcat:9.0jdk8corretto name: container4 5. 容器container5同时采集标准输出日志和指定文件日志。 shell containers: env: name: Ctyunlogseciecialsdefaultlogrulestdoutyxrw9035 value: stdout name: Ctyunlogseciecialsdefaultlogrulefileyxrw9035 value: /var/log/.log image: registrytest.crsinternal.ctyun.cn/opensource/tomcat:9.0jdk8corretto name: container5