前言——私有知识库作用简介 大模型私有知识库是结合大语言模型技术与企业或组织自有数据的一种知识管理和应用方案，旨在为特定用户群体提供更精准、专业且安全的知识服务。 大模型私有知识库是基于大语言模型构建的，专门服务于特定组织或个人的知识存储和检索系统。它整合组织内部的专业知识、业务数据、历史文档等，形成专属知识集合，借助大模型的强大语言理解和生成能力，为用户提供高效的知识查询和问答服务。 本教程提供一种基于开源框架的私有知识库搭建方案。如果需要构建企业级服务且对数据安全有需求，则需相关企业对该服务进行定制，以完成私有知识库的搭建。 本文介绍的方法采用了开源框架自带的数据库服务，但该方法不保证相关数据在开源框架下的安全性。请务必在上传前对敏感数据进行脱敏处理。 本教程使用的GPU云主机规格如下所示，用于部署 DeepSeekr1:70b 模型，配置仅供参考。 plaintext cpu 32核  内存 128G GPU: NVIDIA A102 (48GB) 如需体验其它模型版本，请参考在天翼云使用Ollama运行 DeepSeek的最佳实践7b版弹性云主机最佳实践AIGC实践 天翼云自定义部署DeepSeek步骤二：规格选型，选择合适的云主机。

本节介绍了通过公网访问集群的用户指南。 简介 本文档介绍了如何通过公网访问云容器引擎集群。通过正确配置 Kubernetes API Server 和 Ingress 控制器，您可以安全地从公网访问集群资源。 绑定EIP 登录云容器引擎控制台，单击集群名称进入集群。 在集群信息页中，点击连接信息，点击公网访问，若未绑定eip，点击绑定eip，若未创建eip，则需先创建eip。 绑定完eip后。 在集群信息页中，点击连接信息。 点击公网访问，复制kubeconfig文件内容，将该内容复制到$HOME/.kube/config文件下： 配置 API Server 修改 API Server 配置 编辑 Kubernetes API Server 配置文件，通常位于 /etc/kubernetes/manifests/kubeapiserver.yaml。在 command 部分添加以下参数： plaintext advertiseaddress externalhostname 替换 为您的公网 IP 地址，替换 为您的公网 DNS 名称。 重启 API Server 应用配置更改后，Kubelet 会自动重新启动 API Server。您可以通过以下命令检查 API Server 是否正常运行： plaintext kubectl get pods n kubesystem 确保 kubeapiserver Pod 处于 Running 状态。 配置防火墙规则 确保防火墙允许以下端口的入站流量： 6443：Kubernetes API Server 80：HTTP 443：HTTPS 具体的防火墙配置取决于您的云提供商。 配置 Ingress 控制器

（可选）配置FTP防火墙支持 如果需要使用FTP服务器的被动模式，则需要配置FTP防火墙支持。 a.双击“FTP防火墙支持”，打开FTP防火墙支持的配置界面。 b.配置相关参数，并单击“应用”。 数据通道端口范围：指定用于被动连接的端口范围。可指定的有效端口范围为102565535。请根据实际需求进行设置。 防火墙的外部IP地址：输入该弹性云主机的公网IP地址。 c.重启云主机使防火墙配置生效。 设置安全组及防火墙 搭建好FTP站点后，需要在弹性云主机安全组的入方向添加一条放行FTP端口的规则，具体步骤参见为安全组添加安全组规则。放通的端口请参考表。 如果配置了“FTP防火墙支持”，需要在安全组中同时放行FTP站点使用的端口和FTP防火墙使用的数据通道端口。 服务器防火墙默认放行TCP的21端口用于FTP服务。如果选用其他端口，需要在防火墙中添加一条放行此端口的入站规则。 表 设置安全组规则 FTP模式 方向 协议 端口 源地址 主动模式 入方向 TCP 20端口和21端口 0.0.0.0/0 被动模式 入方向 TCP 21端口和1024 65535间的端口（例如50006000） 0.0.0.0/0

本节介绍了如何配置云数据库TaurusDB包周期实例转按需。 操作场景 云数据库TaurusDB服务支持单个包周期（包年/包月）实例转为按需实例，方便用户灵活使用该资费的实例。 注意 实例的按需计费方式需要等包周期到期后才会生效，且自动续费功能会同步失效。 单个包周期实例转按需 步骤 1 登录管理控制台。 步骤 2 单击管理控制台右上角的，选择Region。 步骤 3 在页面左上角单击，选择“数据库 > 云数据库TaurusDB”。 步骤 4 在“实例管理”页面，选择目标包周期实例，单击“操作”列的“更多 > 转按需”，进入“包周期转按需”页面。 您也可以单击目标实例名称，进入实例的“基本信息”页面，在“计费信息”模块的“计费模式”处，单击“转按需”，进入“包周期转按需”页面。 步骤 5 进入计费模式变更页面，对实例进行计费模式的变更。 步骤 6 包周期转按需创建成功后，用户可以在“实例管理”页面对其进行查看和管理。 在实例列表的右上角，单击刷新列表，可查看到包周期转按需完成后，实例状态显示为“正常”。“计费模式”显示为“按需”。

本节介绍了云数据库TaurusDB日志管理。 查看日志的方法 您可以通过云数据库TaurusDB管理控制台查看数据库日志，相关操作请参见查看错误日志和查看慢日志。 查看错误日志 TaurusDB的日志管理功能支持查看数据库级别的日志，包括数据库运行的错误信息，以及运行较慢的SQL查询语句，有助于您分析系统中存在的问题。 查看日志明细 步骤 1 登录管理控制台。 步骤 2 单击管理控制台右上角的，选择Region。 步骤 3 在页面左上角单击，选择“数据库 > 云数据库TaurusDB”。 步骤 4 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页面。 步骤 5 在左侧导航树，单击“日志管理”。 步骤 6 在“错误日志”页签，选择节点，查看节点对应的错误日志详情。 可查看对应节点在不同时间段的错误日志。 可查看以下级别的错误日志： ALL INFO WARNING ERROR FATAL NOTE 查看慢日志 操作场景 慢日志用来记录执行时间超过当前慢日志阈值“longquerytime”（默认是10秒）的语句，您可以通过查询慢日志的日志明细、统计分析情况，查找出执行效率低的语句，进行优化。 TaurusDB支持以下执行语句类型： SELECT INSERT UPDATE DELETE CREATE ALTER DROP

参数 描述 虚拟私有云 TaurusDB数据库实例所在的虚拟专用网络，可以对不同业务进行网络隔离。您需要创建或选择所需的虚拟私有云。如果没有可选的虚拟私有云，TaurusDB数据库服务默认为您分配资源。 内网安全组 内网安全组限制实例的安全访问规则，加强TaurusDB数据库服务与其他服务间的安全访问。请确保所选取的内网安全组允许客户端访问数据库实例。如果不创建内网安全组或没有可选的内网安全组，TaurusDB数据库服务默认为您分配内网安全组资源。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全性。子网在可用区内才会有效，创建TaurusDB实例的子网默认开启DHCP功能，不可关闭。 创建实例时TaurusDB会自动配置内网地址。创建实例时支持选择IPv6子网。选择IPv6子网后，实例的数据浮动IP地址将绑定IPv6地址，连接数据库时也可使用IPv6地址进行连接。 启用IPv6后，数据库实例可在双堆栈模式下运行，即可以拥有两个不同版本的IP地址：IPv4地址和IPv6地址。此时实例通过IPv4和IPv6进行通信，且IPv4和IPv6通信彼此独立。 IPv6实例的约束限制：创建实例所选规格需要支持IPv6；创建实例所选的可用区支持IPv6。

本节介绍了从Oracle迁移到云数据库GaussDB 的场景说明、架构图、迁移原理、以及所解决的问题。 场景描述 本实践使用DRS的实时同步功能将本地Oracle数据库实时迁移至云数据库GaussDB 。通过全量+增量同步，实现源数据库Oracle和目标数据库GaussDB 的数据长期同步。 解决问题 企业业务高速发展，传统数据库扩容性差，迫切需要分布式化改造。 传统数据库需要自购并安装服务器、系统、数据库等软件，运维成本高、难度大。 传统数据库性能瓶颈问题，复杂查询性能较差。 如何不中断业务并且平滑的实现数据迁移。 迁移架构图 迁移原理 本次实践使用全量+增量同步功能，原理如下： 1. 全量同步阶段，先进行结构迁移，例如表、主键、唯一键的迁移。 2. 结构迁移完成后，启动增量数据抽取，以确保全量数据同步期间的增量数据完整的抽取到DRS实例。 3. 启动全量迁移任务。 4. 全量迁移完成后自动进入增量同步，从全量迁移开始抽取的位点开始回放。 5. 当增量回放全部完成后，启动比对任务进行一致性检查，支持实时比对。 6. 实时比对数据一致时，可以启动业务割接。 服务列表 虚拟私有云VPC 云数据库GaussDB 数据复制服务DRS 数据管理服务DAS

开启防护后，云防火墙默认放行所有流量，配置合适的访问控制策略能有效地帮助您对内部服务器与外网之间的流量进行精细化管控，防止内部威胁扩散，增加安全战略纵深。 访问控制策略类型 访问控制策略分为“防护规则”和“黑/白名单”两类功能，区别如下表所示，流量命中某一条策略时，执行该策略的动作，各功能的防护顺序请参见“云防火墙的防护顺序是什么”。 防护规则和黑/白名单的区别如下： 类型 支持的防护对象 网络类型 防护后的动作 应用场景&特点 配置方式 防护规则 五元组 IP地址组 地理位置（地域） 域名和域名组 公网IP 私网IP 设置为“阻断”：流量直接拦截。 设置为“放行”：流量被“防护规则”功能放行后，再经过入侵防御（IPS） 功能检测。 通过具体的特征识别指定流量，适用于需要精细化控制特定流量的情况；例如通过协议类型、端口号、应用等特征配置规则。 通过添加防护规则拦截/放行流量 黑名单 五元组 IP地址组 公网IP 私网IP 直接拦截流量。 快速拦截已识别的安全威胁，适用于已知恶意流量数据的情况。 通过添加黑白名单拦截/放行流量 白名单 五元组 IP地址组 公网IP 私网IP 流量被云防火墙放行，不再经过其它功能检测。 快速放行可信流量，适用于明确可信IP地址的情况。 通过添加黑白名单拦截/放行流量

section95451728192112 " ")。 例如，nvidia396.37版本驱动链接： 步骤 4 单击“安装”。 安装完成后，在当前集群的各GPU节点上会安装该插件实例。 升级插件 步骤 1 登录CCE控制台，在左侧导航栏中选择“插件管理”，在“插件实例”页签下，选择对应的集群，单击“gpubeta”下的“升级”。 说明： 如果升级按钮处于冻结状态，则说明当前插件版本是最新的版本，不需要进行升级操作。 升级“gpubeta”插件时，会替换原先节点上的旧版本的“gpubeta”插件，安装最新版本的“gpubeta”插件以实现功能的快速升级。 步骤 2 在基本信息页面选择插件版本，单击“下一步”。 步骤 3 参考安装插件中参数说明配置参数后，单击“升级”即可升级“gpubeta”插件。 步骤 4 重启节点（必须）。 在ECS控制台重启节点。登录官网，选择“控制台”，选择弹性云主机所在区域，选择“计算 > 弹性云主机ECS”，在弹性云主机列表中找到目标节点，并单击“操作”列下的“更多 > 重启”。 卸载插件 步骤 1 登录CCE控制台，在左侧导航栏中选择“插件管理”。在“插件实例”页签下，选择对应的集群，单击“gpubeta”下的“卸载”。 步骤 2 在弹出的窗口中，单击“是”，可卸载该插件。 说明： 卸载gpubeta插件不会卸载驱动。若重新安装了驱动，需重启所有GPU节点。

本节介绍了DDoS高防（边缘云版）的各个计费项的详细规格及说明。 天翼云DDoS 高防（边缘云版）提供三个计费项可供选择：套餐、扩展服务、弹性防护。其中，套餐计费的保底防护带宽、CC防护能力、业务带宽和接入域名数为包年包月预付费，在套餐的基础上可以叠加购买扩展服务，和套餐一样，扩展服务也是包年包月预付费；弹性防护带宽为按需后付费，按天结算。 计费项 描述 说明 :: 套餐 按照购买的套餐进行计费 套餐为预付费，套餐为基础费用，套餐失效则扩展服务均失效 扩展服务 根据购买的扩展功能进行计费，包含域名数、端口数、业务带宽、缓存功能 扩展服务为预付费，套餐失效则扩展服务均失效 弹性防护 按照业务需求购买弹性防护峰值，包含防护带宽、CC防护 按需后付费，根据超出保底带宽的部分产生后按照超出部分所属阶梯价格付费（按天收费），防护超过选定的最高防护带宽，则通过解析回源，2小时后自动解封 套餐含安全保底业务带宽、接入域名数等，按月付费。如果保底业务带宽不能满足需求，可以购扩展带宽，当带宽超出购买套餐+扩展带宽时，会进行域名限速。 建议您根据业务系统可能会遭受的攻击量级或者历史被攻击情况的数据等因素，进行DDoS高防（边缘云版）的选配。

本章节会介绍备份迁移的方案概览。 以下节点支持备份迁移：贵州、杭州、广州4、苏州、上海4、青岛、西安2、长沙2、武汉2、哈尔滨、内蒙3、芜湖、福州、深圳、华北、北京2、石家庄、兰州、西宁、重庆、南昌、成都3、天津、海口、郑州。 由于安全原因，数据库的IP地址有时不能暴露在公网上，但是选择专线网络进行数据库迁移，成本又高。这种情况下，您可以选用数据复制服务提供的备份迁移，通过将源数据库的数据导出成备份文件，并上传至对象存储服务，然后恢复到目标数据库。备份迁移可以帮助您在云服务不触碰源数据库的情况下，实现数据迁移。 常用场景：云下数据库迁移上云。 特点：云服务无需碰触源数据库，实现数据迁移。 表 迁移方案 备份文件版本 目标数据库版本 相关文档 ::: RDS for Microsoft SQL Server全量备份文件 RDS for Microsoft SQL Server 创建RDS备份迁移任务 本地及其他云Microsoft SQL Server数据库备份文件 RDS for Microsoft SQL Server 创建OBS自建桶备份迁移任务

为什么配置了访问控制白名单后还能访问后端主机？ 监听器配置了访问控制白名单后，仅允许特定IP访问负载均衡，仅转发来自所选访问策略组中设置的IP地址或地址段的请求。但是作为后端主机的云主机，除了作为负载均衡的后端主机接收流量，同时其本身IP地址也可以被其他方式访问。如果需要对作为后端主机的云主机进行访问控制，可以通过配置网络ACL或者安全组规则实现，详见 网络ACL的简介 和 安全组概述。

安全组 安全组可重复使用，您也可以根据实际情况使用不同的安全组，请根据实际需要进行配置。 创建安全组的操作指导，请参考虚拟私有云创建安全组。 若需要为安全组添加规则，请参考虚拟私有云安全组添加安全组规则。 弹性公网IP（可选） 若需要通过公网访问RabbitMQ实例，则需要申请弹性公网IP，否则不需要申请弹性公网IP。申请弹性公网IP的操作指导请参考购买弹性IP。

参 数 说明 取值样例 域名 内网域名，可以自定义，域名需符合域名命名规范：由多个以点分隔的字符串组成,可包含字母、数字中划线，中划线不能在开头或末尾，单个字符串不超过63个字符，域名总长度不超过254个字符。 example.com VPC 内网域名关联的VPC，只有此VPC中的云主机才能解析创建的内网域名。 选择一个VPC。如果选框为空，请前往 描述 可选参数，域名描述。

本节主要介绍产品优势 快速接入 客户应用的快速接入。可以选择使用容器、虚机等方式部署应用，快速实现分布式微服务应用的细粒度治理和高可用保障。 开源开放 多种微服务开发框架支持。支持SpringCloud、ServiceComb等主流微服务框架，支持使用service mesh接入客户的既有应用。 稳定可靠 帮助用户实现云原生化改造。提供业务的微服务基础支撑底座，满足云原生用户严苛的性能、可用性和安全合规要求。 多语言 兼容客户的异构遗留系统。提供Java、Go、.NET、Node.js、PHP等多语言微服务解决方案。

安全组 安全组可重复使用，您也可以根据实际情况使用不同的安全组，请根据实际需要进行配置。 创建安全组的操作指导，请参考虚拟私有云创建安全组。 若需要为安全组添加规则，请参考虚拟私有云安全组添加安全组规则。 弹性公网IP（可选） 若需要通过公网访问MQTT实例，则需要申请弹性公网IP，否则不需要申请弹性公网IP。申请弹性公网IP的操作指导请参考购买弹性IP。

通过产品控制台退订 您可通过产品控制台退订，此处以云主机退订为例进行说明。 1、登录天翼云，进入 控制中心云主机控制台。 2、选择需要退订的资源，点击右侧“更多退订“，进入退订详情页面。 3、确认退订信息，信息确认无误后勾选协议，点击退订并再次确认，确认后即刻完成退订。 （截图示例中资源通过代金券购买，且7天无理由退订次数已用完，退订不返还代金券，因此退订金额为0元）

本小节介绍AntiDDoS流量清洗服务优势 极速 秒级的攻击响应延迟（<3秒），清洗时网络延迟30ms以内。 专业 专业优质防护线路，专业防DDoS设备，TCP/UDP清洗零误杀；百万级IP黑名单库，精准有效；覆盖所有防护类型，防护类型包括SYN Flood、UDP Flood等所有DDoS攻击方式。 无成本 天翼云以免费方式向用户提供防DDoS服务，用户可以在管理控制台开启并配置云主机的防DDoS能力。 可视化管理 以图形方式提供DDoS防护日志，方便用户掌握DDoS攻击趋势以及云主机被攻击的情况。

天翼云为您提供云防火墙服务等级协议说明，请您点击查看。 天翼云云防火墙服务协议

其中第一个标签key为ccse，value为plugin，另外一个标签key为cstorcsiprovison，value为yes 注意，此标签为存储侧的标签，并非容器侧的标签，最终只会在存储控制台展示。 tags: "ccse:plugin,cstorcsiprovison:yes" reclaimPolicy: Delete allowVolumeExpansion: true mountOptions: discard 执行以下命令，创建StorageClass plaintext kubectl apply f scexample.yaml 查看创建的StorageClass： 操作步骤: 登录“云容器引擎”管理控制台；在集群列表页点击进入指定集群；进入主菜单“存储”——“存储类”，在存储类列表查看。 2、创建持久卷声明（PVC） 使用kubectl连接集群，创建示例yaml文件pvcexample.yaml： plaintext apiVersion: v1 kind: PersistentVolumeClaim metadata: name: cstorpvcdisk spec: 访问模式 accessModes: ReadWriteOnce resources: requests: storage: 10Gi storageClassName: cstorcsidisksassc 执行以下命令，创建PVC plaintext kubectl apply f pvcexample.yaml 查看创建的PVC： 操作步骤: 登录“云容器引擎”管理控制台；在集群列表页点击进入指定集群；进入主菜单“存储”——“持久卷声明”，在列表查看。 3、创建工作负载 使用kubectl连接集群，创建示例yaml文件stsexample.yaml： plaintext apiVersion: "apps/v1" kind: "StatefulSet" metadata: name: "teststs" spec: podManagementPolicy: "OrderedReady" replicas: 1 revisionHistoryLimit: 10 serviceName: "" template: spec: containers: image: "nginx:1.25alpine" imagePullPolicy: "IfNotPresent" name: "container1" resources: limits: cpu: "100m" memory: "256Mi" requests: cpu: "100m" memory: "256Mi" terminationMessagePath: "/dev/terminationlog" terminationMessagePolicy: "File" volumeMounts: mountPath: "/ccetmp" name: "volume1" dnsPolicy: "ClusterFirst" restartPolicy: "Always" schedulerName: "defaultscheduler" securityContext: {} terminationGracePeriodSeconds: 30 volumes: name: "volume1" persistentVolumeClaim: claimName: "cstorpvcdisk" updateStrategy: rollingUpdate: partition: 0 type: "RollingUpdate" 执行以下命令，创建StatefulSet plaintext kubectl apply f stsexample.yaml 查看创建的有状态负载： 操作步骤: 登录“云容器引擎”管理控制台；在集群列表页点击进入指定集群；进入主菜单“工作负载”——“有状态”，在列表查看。

其中第一个标签key为ccse，value为plugin，另外一个标签key为cstorcsiprovison，value为yes 注意，此标签为存储侧的标签，并非容器侧的标签，最终只会在存储控制台展示。 tags: "ccse:plugin,cstorcsiprovison:yes" reclaimPolicy: Delete allowVolumeExpansion: true mountOptions: discard 执行以下命令，创建StorageClass plaintext kubectl apply f scexample.yaml 查看创建的StorageClass： 操作步骤: 登录“云容器引擎”管理控制台；在集群列表页点击进入指定集群；进入主菜单“存储”——“存储类”，在存储类列表查看。 2、创建持久卷声明（PVC） 使用kubectl连接集群，创建示例yaml文件pvcexample.yaml： plaintext apiVersion: v1 kind: PersistentVolumeClaim metadata: name: cstorpvcdisk spec: 访问模式 accessModes: ReadWriteOnce resources: requests: storage: 10Gi storageClassName: cstorcsidisksassc 执行以下命令，创建PVC plaintext kubectl apply f pvcexample.yaml 查看创建的PVC： 操作步骤: 登录“云容器引擎”管理控制台；在集群列表页点击进入指定集群；进入主菜单“存储”——“持久卷声明”，在列表查看。 3、创建工作负载 使用kubectl连接集群，创建示例yaml文件stsexample.yaml： plaintext apiVersion: "apps/v1" kind: "StatefulSet" metadata: name: "teststs" spec: podManagementPolicy: "OrderedReady" replicas: 1 revisionHistoryLimit: 10 serviceName: "" template: spec: containers: image: "nginx:1.25alpine" imagePullPolicy: "IfNotPresent" name: "container1" resources: limits: cpu: "100m" memory: "256Mi" requests: cpu: "100m" memory: "256Mi" terminationMessagePath: "/dev/terminationlog" terminationMessagePolicy: "File" volumeMounts: mountPath: "/ccetmp" name: "volume1" dnsPolicy: "ClusterFirst" restartPolicy: "Always" schedulerName: "defaultscheduler" securityContext: {} terminationGracePeriodSeconds: 30 volumes: name: "volume1" persistentVolumeClaim: claimName: "cstorpvcdisk" updateStrategy: rollingUpdate: partition: 0 type: "RollingUpdate" 执行以下命令，创建StatefulSet plaintext kubectl apply f stsexample.yaml 查看创建的有状态负载： 操作步骤: 登录“云容器引擎”管理控制台；在集群列表页点击进入指定集群；进入主菜单“工作负载”——“有状态”，在列表查看。

本节介绍了本地Linux主机使用SFTP上传文件到Linux云主机的操作场景、操作步骤。 操作场景 本节操作以CentOS操作系统为例，介绍配置SFTP、使用SFTP上传或下载文件、文件夹的操作步骤。 操作步骤 1. 以root用户登录云主机。 2. 执行以下命令查看ssh版本，OpenSSH版本大于等于4.8p1。 ssh V 回显信息如下所示： OpenSSH7.4p1, OpenSSL 1.0.2kfips 26 Jan 2017 3. 创建用户和组，以user1用户为例。 groupadd sftp useradd g sftp s /sbin/nologin user1 4. 设置用户密码。 passwd user1 图 设置用户密码 5. 设置目录权限。 chown root:sftp /home/user1 chmod 755 R /home/user1 mkdir /home/user1/upload chown R user1:sftp /home/user1/upload chmod R 755 /home/user1/upload 6. 执行以下命令，编辑sshdconfig文件。 vim /etc/ssh/sshdconfig 注释掉如下信息 Subsystem sftp /usr/libexec/openssh/sftpserver 补充如下内容： Subsystem sftp internalsftp Match Group sftp ChrootDirectory /home/%u ForceCommand internalsftp AllowTcpForwarding no X11Forwarding no 图 sshdconfig文件补充配置信息后 7. 重启云主机，或执行以下命令重启sshd服务。 service sshd restart 或 systemctl restart sshd 8. 执行以下命令，远程连接到服务器。 sftp root@IP地址 9. 连接成功后，您可以使用交互式的sftp命令。 10. 执行以下命令，上传或下载文件、文件夹。 上传文件：put r 下载文件：get r

本文主要介绍云日志服务如何添加过滤器。 云日志服务仪表盘支持添加过滤器，即可对整个仪表盘进行查询过滤、变量替换操作。 前提条件 已完成日志采集接入，可成功采集到日志数据 日志内容已完成结构化配置 已完成仪表盘创建，并已添加图表 过滤器类型说明 目前支持以下两种类型的过滤器，可在创建过滤器时选择类型： 类型 说明 生效范围 下拉选项过滤 通过指定字段的字段值对仪表盘内所有图表的数据进行过滤。在执行过滤器操作时，将其作为过滤条件增加到查询和分析语句前，使用AND或NOT连接，例如Key Value and [search query]，表示在原查询和分析语句的结果中，查找包含KeyValue的日志。 仪表盘内所有日志主题的图表 变量替换过滤 变量替换支持用户自己设置变量值，替换到检索分析语句中，如果仪表盘中已有设置了该变量占位符的统计图表，则添加变量类型的过滤器后，自动将统计图表的查询和分析语句中的变量替换为您选择的变量值。 仪表盘内使用该变量的图表 操作步骤 1. 登录云日志服务控制台，在左侧导航栏中选择仪表盘仪表盘列表，选择指定仪表盘，点击仪表盘名称，进入仪表盘页面。 2. 在仪表盘页面，点击右上角【编辑】按钮，进入编辑状态。 3. 点击右上角【添加过滤器】。 4. 在过滤器添加页面中，配置过滤器的相关参数。支持两种类型的过滤器，具体参数配置可参考下表。添加完成后，再点击仪表盘右上角保存，完成过滤器添加操作。 参数 说明 过滤器名称 自定义过滤器名称，最大支持32字符。 类型 选择过滤器类型或变量替换类型。具体可见[过滤器类型说明](

天翼云为您提供云硬盘备份产品服务协议,请您点击查看。 天翼云云硬盘备份服务协议

为了进一步提升云服务的安全性，加强实例访问的默认保护机制，对新创建Kafka实例的默认安全组策略进行优化调整。 调整内容 自本公告发布之日起，新开通Kafka实例使用的安全组未配置vpc内入方向安全组规则，将默认禁止同VPC内访问Kafka实例服务端口。此变更旨在遵循最小权限安全原则，降低因配置疏忽导致的安全风险。 影响说明 若您使用的安全组未进行额外配置，新建的实例将无法被同VPC内的云主机访问。 应对措施 如需恢复VPC内访问，请您手动配置安全组规则，具体操作如下： 在安全组入方向规则中添加以下策略： 授权策略：允许。 协议类型：TCP。 端口范围：Kafka实例服务端口。 源地址：您的VPC网段（如：192.168.0.0/16）。 配置完成后，同VPC内的云主机即可正常访问Kafka实例服务。 建议 为保障业务安全，建议您根据实际需求精确设置访问源IP或网段，避免开放不必要的访问权限。 此次调整仅影响新创建的实例，已有实例的访问策略保持不变，不受此次调整影响。感谢您对云服务安全的支持与理解。如有疑问，请联系技术支持。 特此公告。

本节介绍态势感知相关概念。 安全风险 安全风险是对资产安全状况的综合评估，反映了一段时间内资产遭受的安全风险。安全风险通常体现为一个量化的数值，便于用户理解目前资产的安全状况，数值大小并不代表资产的绝对安全或危险，仅作为资产遭受攻击严重程度的参考。 威胁告警 广义的威胁告警是指由于自然因素、人为因素或软硬件本身的原因，对信息系统造成危害的事件，或对社会造成负面影响的威胁。对于态势感知来讲，威胁告警泛指根据大数据分析检测出的，对用户资产产生威胁的安全事件。 云服务基线 云服务基线是应用在云场景下，帮助用户检测云产品上存在的风险配置项，并提供修复建议。 攻击类型 暴力破解 暴力破解法是一种密码分析方法，基本原理是在一定条件范围内对所有可能结果进行逐一验证，直到找出符合条件的结果为止。攻击者通常使用暴力破解的方式猜测远程登录的用户名和密码，一旦破解成功，即可实施攻击和控制。 Web攻击 Web攻击是针对用户上网行为或网站服务器等设备进行攻击的行为。常见的Web攻击方式包括SQL注入攻击、跨站脚本攻击、跨站请求伪造攻击等。

为了进一步提升云服务的安全性，加强实例访问的默认保护机制，对新创建RabbitMQ实例的默认安全组策略进行优化调整。 调整内容 自本公告发布之日起，新开通RabbitMQ实例使用的安全组未配置vpc内入方向安全组规则，将默认禁止同VPC内访问RabbitMQ实例服务端口。此变更旨在遵循最小权限安全原则，降低因配置疏忽导致的安全风险。 影响说明 若您使用的安全组未进行额外配置，新建的实例将无法被同VPC内的云主机访问。 应对措施 如需恢复VPC内访问，请您手动配置安全组规则，具体操作如下： 在安全组入方向规则中添加以下策略： 授权策略：允许。 协议类型：TCP。 端口范围：RabbitMQ实例服务端口。 源地址：您的VPC网段（如：192.168.0.0/16）。 配置完成后，同VPC内的云主机即可正常访问RabbitMQ实例服务。 建议 为保障业务安全，建议您根据实际需求精确设置访问源IP或网段，避免开放不必要的访问权限。 此次调整仅影响新创建的实例，已有实例的访问策略保持不变，不受此次调整影响。感谢您对云服务安全的支持与理解。如有疑问，请联系技术支持。 特此公告。

为了进一步提升云服务的安全性，加强实例访问的默认保护机制，对新创建Redis实例的默认安全组策略进行优化调整。 调整内容 自本公告发布之日起， 新开通redis实例使用的安全组未配置vpc内入方向安全组规则，将默认禁止同VPC内访问Redis服务端口（6379）。此变更旨在遵循最小权限安全原则，降低因配置疏忽导致的安全风险。 影响说明 若您使用的安全组未进行额外配置，新建的Redis实例将无法被同VPC内的云主机访问。 应对措施 如需VPC内访问，请您手动配置安全组规则，具体操作如下： 在安全组入方向规则中添加以下策略： 授权策略：允许。 协议类型：TCP。 端口范围：Redis的服务端口(如：6379）。 源地址：您的VPC网段（如：192.168.0.0/16）。 配置完成后，同VPC内的云主机即可正常访问Redis服务。 建议 为保障业务安全，建议您根据实际需求精确设置访问源IP或网段，避免开放不必要的访问权限。 此次调整仅影响新创建的实例，已有实例的访问策略保持不变，不受此次调整影响。感谢您对云服务安全的支持与理解。如有疑问，请联系技术支持。 特此公告。

为了进一步提升云服务的安全性，加强实例访问的默认保护机制，对新创建MQTT实例的默认安全组策略进行优化调整。 调整内容 自本公告发布之日起， 新开通MQTT实例使用的安全组未配置vpc内入方向安全组规则，将默认禁止同VPC内访问MQTT实例服务端口。此变更旨在遵循最小权限安全原则，降低因配置疏忽导致的安全风险。 影响说明 若您使用的安全组未进行额外配置，新建的实例将无法被同VPC内的云主机访问。 应对措施 如需恢复VPC内访问，请您手动配置安全组规则，具体操作如下： 在安全组入方向规则中添加以下策略： 授权策略：允许。 协议类型：TCP。 端口范围：MQTT实例服务端口。 源地址：您的VPC网段（如：192.168.0.0/16）。 配置完成后，同VPC内的云主机即可正常访问MQTT实例服务。 建议 为保障业务安全，建议您根据实际需求精确设置访问源IP或网段，避免开放不必要的访问权限。 此次调整仅影响新创建的实例，已有实例的访问策略保持不变，不受此次调整影响。感谢您对云服务安全的支持与理解。如有疑问，请联系技术支持。 特此公告。

本章节介绍故障演练服务中应用资源管理功能。 概述 应用资源 是构成应用 的组件节点，例如云主机 、云容器引擎 、分布式缓存服务Redis版 、分布式消息服务Kafka等实例。应用需要先纳管资源，才能对其进行故障演练。 添加应用资源 1. 登录应用高可用服务控制台。 2. 在左侧导航栏中，定位到故障演练 菜单，选择要操作的目标应用 ，然后单击其下的应用资源 选项，进入应用资源管理页面。 3. 在页面上方的资源类型 页签中，选择希望添加的资源类型（如云主机），然后单击添加资源按钮。 4. 在弹出的对话框中，选择资源池等筛选条件 ，单击搜索，系统将列出符合条件的、当前用户有权访问的资源清单。 5. 从列表中勾选 一个或多个资源，然后单击确认完成添加。 6. 返回应用资源列表，可以看到新添加的资源对象。 注意 列表中显示的资源状态可能存在一定延迟，如需获取最实时的信息，以该资源对应的云产品控制台为准。 删除应用资源 1. 进入目标应用的应用资源管理页面。 2. 在应用资源 列表中，找到希望删除的资源对象，单击其对应的删除按钮。 3. 在弹出的确认对话框中完成删除操作。 4. 返回应用资源列表，确认该资源对象已被成功移除。 注意 若目标资源被演练任务引用，则无法直接删除；必须先解除所有关联任务对该资源的引用，才能进行删除操作。

本节介绍了什么是磁盘模式、SCSI磁盘的常见使用场景和建议、使用SCSI类型磁盘需要安装驱动吗。 什么是磁盘模式 根据是否支持高级的SCSI命令来划分磁盘模式，分为VBD(虚拟块存储设备 , Virtual Block Device)类型和SCSI (小型计算机系统接口, Small Computer System Interface) 类型。 VBD类型：磁盘模式默认为VBD类型。VBD类型的磁盘只支持简单的SCSI读写命令。 SCSI类型：SCSI类型的磁盘支持SCSI指令透传，允许云主机操作系统直接访问底层存储介质。除了简单的SCSI读写命令，SCSI类型的磁盘还可以支持更高级的SCSI命令。 磁盘模式在购买磁盘时配置，购买完成后无法修改。 SCSI磁盘的常见使用场景和建议 SCSI磁盘：物理机仅支持使用SCSI磁盘，用作系统盘和数据盘。 SCSI共享盘：当您使用共享盘时，需要结合分布式文件系统或者集群软件使用。由于多数常见集群需要使用SCSI锁，例如Windows MSCS集群、Veritas VCS集群和CFS集群，因此建议您结合SCSI使用共享盘。 如果将SCSI共享盘挂载至ECS时，需要结合云主机组的反亲和性一同使用，SCSI锁才会生效，关于更多共享盘的内容，请参见共享云硬盘及使用方法。

此小节介绍如何安装Agent。 指导您在console对目标服务器安装Agent，Agent安装后HSS才能对服务器进行正常检测和防护。 约束限制 未开启防护不支持安装与配置相关操作。 安装须知 您的云服务器安全组出方向的设置允许访问100.125.0.0/16网段的10180端口（默认允许访问，如做了改动请修正）。 安装成功后，需要等待5~10分钟左右才会刷新Agent状态。请前往“资产管理>主机管理>云服务器”界面查看。 如果您的主机安全未设置过告警通知，初次安装agent后还需进行告警通知设置才能及时接收告警信息。 Linux安装Agent需远程登录服务器通过目标Agent命令执行下载安装。 Windows安装Agent需要通过浏览器打开目标链接下载，对下载包进行解压后再执行安装。 公网无法下载，下载前需配置内网DNS地址。 由于主机的性能差异，其他云的主机与主机安全服务的兼容性可能较差，为使您获得良好的服务体验，建议您使用天翼云弹性云主机。 安装Agent时，请暂时清理主机中可能干扰主机安装的应用进程和配置信息，防止Agent安装失败。 单服务器安装Agent 1、登录管理控制台。 2、在页面左上角单击选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、在左侧导航树选择“安装与配置 > Agent 管理”，进入Agent管理页面。 5、选择“Agent不在线（X）”，查看Agent未安装或离线的服务器列表，详情请参见表。 查看Agent不在线列表 Agent列表参数说明 参数名称 参数说明 服务器名称/ID 服务器的名称和ID。 IP地址 目标服务器所属的公网IP或私网IP。 操作系统 目标服务器的操作系统。 linux windows Agent状态 目标服务器的Agent状态。 离线 未安装 安装失败 6、单击目标服务器“操作”列的“离线原因”，查看目标服务器Agent离线原因。 7、单击目标服务器“操作”列的“安装Agent”，选择不同架构以及不同系统的链接进行下载安装，linux系统安装详情请参见Linux版本，windows系统安装详情请参见Windows版本。