查看镜像详情 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“镜像安全 > 镜像管理”，进入镜像管理页面。 3. 选择“仓库镜像”或“节点镜像”页签，进入对应镜像列表页面。 4. 单击镜像列表中的“镜像名称”，进入镜像详情页面查看镜像的基本信息、关联信息、漏洞、软件、文件、环境变量、安全溯源等相关信息。 查看镜像安全概览 镜像安全概览页面可以查看镜像的基本信息、风险分数、安全问题、镜像命中的安全策略、安全建议等信息。 查看镜像关联容器 在“关联容器”页面，可查看与镜像相关联的容器的信息，包括容器名称、容器所在Pod名称、所属集群名称、运行所在节点的名称。 查看镜像漏洞详情 在“漏洞”页面，可查看该镜像中各个危险级别的漏洞统计情况，单击漏洞列表中的“漏洞编号”，可以查看漏洞的详细信息，包括漏洞介绍、漏洞评分、来源信息等。 单击漏洞详情中的“命中安全策略”，可以查看漏洞命中的安全策略。 单击漏洞详情操作列的“加入白名单”可忽略此漏洞。添加完成后，扫描该镜像将不再展示已加入白名单的漏洞。

本节介绍智算安全专区相关术语。 大模型安全卫士 RAG RAG（RetrievalAugmented Generation，检索增强生成）是一种将信息检索系统与大语言模型的生成能力相结合的技术框架。 OpenAI API规范 是由OpenAI提供的一套接口规范，围绕Chat Completions API构建，这是一种基于HTTP的RESTful接口，允许开发者与大语言模型（如GPT系列）进行交互。 大模型安全测评 OpenAI API规范 是由OpenAI提供的一套接口规范，围绕Chat Completions API构建，这是一种基于HTTP的RESTful接口，允许开发者与大语言模型（如GPT系列）进行交互。 大模型安全护栏 大模型（LLM） 大型语言模型（Large Language Model）的简称，如GPT、文心一言、通义千问等 AI 对话模型。 护栏（Guardrail） 对大模型输入输出进行安全检测与过滤的机制，防止模型产生有害或违规内容。 提示注入攻击（Prompt Injection） 攻击者通过在输入内容中构造特殊指令，试图操控大模型执行非预期行为或绕过安全限制。 应用（Application） 大模型安全护栏中的管理单元，每个应用对应一套独立的 API 调用凭证与安全策略。 代答库 预先配置的应答模板集合，当检测到风险内容被拦截时，系统从代答库中随机选取一条回复返回给用户。 词库 用户自定义的关键词集合，分为黑名单词库（触发拦截）和白名单词库（豁免检测）两类。

本文介绍如何将网站域名接入边缘安全加速平台的安全与加速服务,保障您网站的安全性和可用性。 通过网站业务梳理、域名接入配置、运营管理三个方面进行管理您的网站。 网站业务梳理 在将网站接入边缘安全加速平台前，建议您先梳理网站的业务信息以及历史受攻击的情况，便于使用安全与加速服务制定合适的防护策略。 梳理网站的基础信息 梳理网站的基础信息，有利于您在域名接入安全与加速服务时，填写正确的域名配置。 网站支持哪些访问协议，如果需要支持HTTPS，那需要提前准备对应的HTTPS证书。 网站有使用了哪些业务端口，判断WAF是否能支持该网站的所有业务端口。 源站的IP有哪些，源站是否有iptables之类的访问限制，如果有需要加白AccessOne防护集群的回源IP。 梳理网站的业务情况 了解自身网站业务有利于安全与加速服务防护策略的配置，也有助于在订购安全与加速服务套餐时能选择合适的套餐规格属性。 网站当前的业务流量情况，包括流量峰值的Mbps、QPS情况。 网站访问者的主要来源，访问者的客户端环境有哪些，是否有APP客户端 网站有多少用户活跃度，主要的用户群体有哪些，有助于分析访问行为特征并制定防护策略。

本文解答开通IP应用加速的前提条件。 是的。边缘接入服务提供IP应用加速能力以及DDoS防护能力。客户想要使用IP应用加速，需要先订购边缘接入服务，才可开通IP应用加速并进行配置。 订购边缘接入服务操作步骤详见：启用边缘接入服务。 如何进行IP应用加速配置操作步骤详见：IP应用加速配置。 边缘接入服务，基于优质的边缘网络资源和应用安全能力，可以为企业构造一张性能和安全兼具的边缘接入网络。 通过多样、灵活的接入方式，可以将任意用户请求安全接入至边缘网络的三网节点。实现全球范围内高速、稳定、安全的数据传输，适用应用加速、上网加速等多种业务场景。 提供低时延、高可靠的四层网络传输服务，支持多协议加速，可以解决跨运营商网络不稳定、单线源站、突发流量、网络拥塞等诸多因素导致的延迟高、服务不稳定的问题。提升传输性能和用户体验。 同时无惧安全威胁，可实现业务透明转发，提供网络层安全防护能力，解除DDoS攻击的后顾之忧。

本节为您介绍管理应用识别DPI的操作场景、前提条件、操作步骤。 操作场景 用户可以在监控平台查看自定义应用的流量访问情况。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成天翼云SDWAN实例、智能网关的创建与配置，且智能网关已绑定SDWAN。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本节我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 选择“智能网关”，单击目标智能网关名称。 5. 单击“自定义应用”页签，然后开启“DPI功能”。 6. 单击“查看监控项”。 7. 可跳转至管理与部署控制台，查看应用监控。

解决方案 虚拟化安全产品兼容国内外主流的虚拟化平台，可实现多异构环境的统一部署与管理； 无代理模式因为不需要在每个虚机部署Agent，部署效率高，资源占用率低，非常适合客户云桌面场景； 同时，针对客户的物理服务器资源以及深信服虚拟化平台，采用有代理的方式实现与虚拟化环境的统一管理与运维。 项目亮点 山东省税务局项目面对友商的激烈竞争最终仍能够突破重围取得成功，对产品线及税务行业来说都是极大的鼓舞，“山东模式”无论在省内地市以及全国其他省份、地市的税务行业都具有标杆意义，为虚拟化安全产品在全国税务行业的推广提供了宝贵的项目经验。 基于国税《税务系统云计算安全规范》的标准要求，该项目在内网环境中以天擎覆盖终端安全，虚拟化安全覆盖服务器安全。在服务器侧虚拟化安全采取无代理部署模式，在保障资源低消耗的前提下对用户的服务器环境，包含物理服务器、虚拟机以及云桌面进行统一安全防护。 通过虚拟化安全的部署实施，在满足税务行业规范以及等保2.0要求的基础上，产品为客户提供服务器复杂环境下的安全防护，包括恶意代码防护、入侵防护、虚拟机环境访问控制等，有效的帮助客户筑起服务器安全护城河。 山东省局项目落地，首先有助于虚拟化安全产品在省内各地市、区县局虚拟化平台及用户桌面云场景迅速复制推广，已陆续有济南、临沂等地市甚至区县客户申请测试。

本文介绍OpenClaw(原 Clawdbot)更改厂商模型配置的内容。 前置说明 1.该文档为介绍通过应用托管应用市场体验OpenClaw更改厂商模型配置的内容。 2.本产品中的应用由第三方主体提供，尽管天翼云已尽最大努力进行识别和维护，但仍无法保证应用的可用性。请客户按照该产品的服务协议使用该产品，做好甄别工作，并对自行选择的服务承担相应责任。 概述 OpenClaw是近期在开发者社区和AI领域广受关注的一款开源、自托管的个人AI助手。它以其独特的“本地优先”设计理念，将强大的大型语言模型能力与用户本地系统深度结合，实现了从“对话式AI”到“可执行实际任务的智能体”的跨越。与依赖云端服务的传统AI助手不同，OpenClaw将数据主权和隐私控制权完全交还给用户，所有数据和处理过程均在用户可控的环境中进行，被誉为“首个7×24小时永不下班的AI员工”。它的开源特性也吸引了大量开发者参与生态建设，形成了一个活跃的技能市场。 重要：OpenClaw 为开源 AI 助手，请在使用前充分评估其安全性与稳定性并严格遵循许可协议，以切实保障您的系统环境与数据安全。 1. 请避免在 OpenClaw 中绑定生产级敏感账号。如需使用 API 服务，建议使用受限的 API Key 或临时 Token，并建立定期轮换机制，以降低密钥泄露带来的风险。 2. 建议优先使用天翼云官方提供的skills与插件，避免安装来源不明的第三方技能，防止恶意代码注入。 3. 请通过密码或 Token 对 OpenClaw 服务进行访问授权，严格限制访问 IP 范围，避免公网暴露，拦截非授权访问请求。 4. 建议启用详细的日志记录与行为监控，对操作行为和数据处理过程进行持续审计，及时发现并处置异常行为。

本文将介绍如何免密拉取CRS镜像。 ECI支持从天翼云容器镜像服务CRS私有镜像仓库中免密拉取镜像，以提升效率和安全性。创建ECI实例前，需要将镜像上传到对应仓库中。本文介绍如何免密拉取CRS镜像。 背景信息 天翼云容器镜像服务CRS分为个人版和企业版。其中，企业版是企业级云原生应用制品管理平台，提供容器镜像、Helm Chart以及符合OCI规范制品的生命周期管理，适用于业务大规模部署场景，帮助企业降低交付复杂度。 创建工作负载时，如果要拉取的镜像属于CRS镜像，当使用内网地址时，ECI支持免密拉取，提升效率，同时避免密码泄露的风险，加强安全性。 前提条件 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群。 确保kubectl工具已经连接目标集群。 操作步骤 1. 登录云容器引擎控制台，在控制台的左侧导航栏中点击“集群” 。 2. 在集群列表页面中单击目标集群的名称。 3. 在左侧选择“工作负载”，选择“无状态”，在右上角单击“创建Deployment”。 4. 按需配置工作负载的信息。 5. 按需配置容器，容器信息Pod中可以配置多个容器，您可以单击右侧“添加容器”为Pod配置多个容器。 1. 容器名称：为容器命名。 2. 镜像更新策略：选择是否总是拉取镜像。 3. 镜像名称：选择容器使用的镜像，支持多种镜像来源。 4. 镜像版本：选择需要部署的镜像版本。 6. 点击选择镜像，从CRS镜像仓库选择私有镜像，选择内网地址。 7. 创建完成后，进入工作负载的无状态页面，可以看到新建的k8ssidecar应用出现在无状态列表下。

时间粒度 可查询历史数据时间范围 数据延迟 单次可查询的时间跨度 1m 最近7天 5分钟 1小时 5m 最近365天 20分钟 5小时 1h 最近365天 20分钟 1天 24h 最近365天 20分钟 31天

网络 参数 参数说明 区域 集群的工作区域。 可用区 显示创建集群时所选择的可用区信息。 虚拟私有云 VPC信息，创建集群时所选。 VPC即虚拟私有云，是通过逻辑方式进行网络隔离，提供安全、隔离的网络环境。 DWS集群创建成功后，其虚拟私有云将不能更改为其他的虚拟私有云，但是您可以编辑和修改当前的虚拟私有云。单击此处的虚拟私有云名称，进入虚拟私有云详情页面，您可以对虚拟私有进行设置。有关虚拟私有云的详细操作，请参见《虚拟私有云》帮助文档中的“虚拟私有云VPC管理”和“子网管理”章节。 子网 子网信息，创建集群时所选。 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。 DWS集群创建成功后，其子网将不能更改为其他子网，但是您可以编辑和修改当前的子网。单击此处的子网名称，进入子网详情页面，您可以对子网进行设置。有关子网的详细操作，请参见《虚拟私有云》帮助文档中的“虚拟私有云VPC管理”和“子网管理”章节。 安全组 显示创建集群时所选择的安全组信息。 DWS集群创建成功后，其安全组将不能更改为其他安全组，但是您可以编辑和修改当前的安全组，在当前的安全组中添加、删除或修改安全组规则。 单击此处的安全组名称，进入安全组详情页面，您可以对安全组进行设置。有关安全组的详细操作，请参见《虚拟私有云》帮助文档中的“安全组”章节。

本文介绍零信任服务态势大屏。 背景说明 零信任态势大屏功能可协助企业快速查看对应的办公态势，内容包括企业终端安全、风险设备数、软件运行情况、设备资产、内网应用访问情况、内网安全防护、用户分布。 操作步骤 1. 登录边缘安全加速平台控制台，进入【零信任】控制台。 2. 在左侧导航栏，单击【态势大屏】。 功能说明 注意 零信任态势大屏功能需零信任服务套餐版本为企业版，详细版本差异可查看 基本设置 管理员可选择统计周期，刷新间隔，支持切换到边缘安全加速平台其他产品的态势大屏。 终端安全 统计企业终端设备的安全情况，展示合规检测、待处理病毒个数。 风险设备数 软件运行情况

DCS缓存实例创建后，若需要修改实例安全组，可进入管理控制台的实例基本信息页面进行修改。 当前仅Redis3.0缓存实例可以修改安全组，Redis4.0和Redis5.0实例不支持安全组，默认放通所有安全组。 前提条件 已成功创建DCS缓存实例。 操作步骤 1. 登录分布式缓存服务管理控制台。 2. 在管理控制台左上角单击，选择区域和项目。 3. 单击左侧菜单栏的“缓存管理”。 4. 单击需要修改的DCS缓存实例名称。 5. 在打开的DCS缓存实例基本信息页面，单击“安全组”后的。 6. 下拉选择新的安全组。单击保存修改，单击取消修改。 说明 此处只能下拉选择已创建的安全组。 修改操作立即生效，可在实例对应的“概览”页面查看修改结果。

安全体检首次执行引导流程，帮助您快速开始体检之旅。 为了帮助您更好地理解和使用安全体检，我们准备以下快速入门操作指导，当您完成产品订购并开通后，您也可以在控制台上查看此操作指导，并通过右上角按钮展示/隐藏此引导。 请按照以下步骤进行操作： 第一步：添加互联网IP 进入安全体检产品控制台。 点击“安全体检流程引导”第一步的“立即添加”按钮，打开添加体检IP对话框。 选择已开通弹性IP的资源池，产品将自动获取IP地址列表。 勾选IP地址，点击确定后，体检IP将被添加至体检IP列表。 第二步：添加通知人 点击“安全体检流程引导”第二步的“立即添加”按钮，打开添加通知对话框。 输入姓名、邮箱、分组信息后，点击确定，通知信息将被添加至通知列表，体检报告生成后，将自动发送至通知列表内的邮箱地址。 说明 若第一次添加通知，可在分组下拉框中新建分组信息。 第三步：开始体检 点击“安全体检流程引导”第三步的“立即体检”按钮，弹出体检提示对话框。 点击“我已明确上述内容，开始体检”按钮，将开启安全体检。 请遵循以上步骤，开启您的安全体检之旅。如有任何疑问或需要进一步的帮助，请随时联系我们的客服团队。祝您使用愉快！

安全组 安全组是一种网络安全防护机制，用于防止未经授权的访问和保护计算机网络免受恶意攻击。它是一种虚拟防火墙，用于限制入向和出向网络流量。安全组工作在网络层和传输层，它通过检查数据包的源地址、目标地址、协议类型和端口号等信息来决定是否允许通过。安全组创建后，用户可以在安全组中定义各种访问规则，当弹性云主机加入该安全组后，即受到这些访问规则的保护。 更多内容请参见安全组安全组概述。 弹性IP 弹性IP（Elastic IP Address，简称EIP）是可以独立申请的公网IP地址，将弹性IP地址和子网中关联的各项云资源绑定和解绑，可以实现VPC中的云资源通过固定的公网IP地址与互联网互通。弹性IP产品既包含公网IP地址，也可以提供公网带宽服务，与其他带宽产品组合使用，可以达到访问公网与节省成本的目的。 弹性IP需与绑定的云资源在同一个区域进行使用，不允许跨区域（Region）使用弹性IP。 更多内容请参见弹性IP产品介绍。

参数 描述 虚拟私有云 TaurusDB数据库实例所在的虚拟专用网络，可以对不同业务进行网络隔离，以提高网络安全性。 您需要选择所需的虚拟私有云和子网。如果没有可选的虚拟私有云，TaurusDB会为您分配一个默认的虚拟私有云（defaultvpc），您也可以使用已有、新建VPC和子网。 须知 TaurusDB实例创建完成后不支持切换虚拟私有云，请谨慎选择所属虚拟私有云。 内网安全组 内网安全组限制实例的安全访问规则，加强TaurusDB数据库服务与其他服务间的安全访问。请确保所选取的内网安全组允许客户端访问数据库实例。 如果不创建内网安全组或没有可选的内网安全组，TaurusDB数据库服务默认为您分配内网安全组资源。 IPv6 启用IPv6前，请确保数据库实例所在的VPC和子网已开启IPv6配置。 启用IPv6后，数据库实例可在双堆栈模式下运行，即可以拥有两个不同版本的IP地址：IPv4地址和IPv6地址。此时实例通过IPv4和IPv6进行通信，且IPv4和IPv6通信彼此独立。

本小节介绍筛选未安装Agent的主机 1、录管理控制台。 2、在页面左上角单击选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、在安装与配置页面，选择“Agent管理 > Agent不在线”页签，查看未安装Agent的云服务器。

配置项 说明 虚拟私有云 1.选择集群所在的虚拟私有云。 2.可跳转至虚拟私有云控制台创建新VPC。 安全组名称 1.安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同防护需求的节点提供安全访问策略。 2.集群在创建时为您自动创建安全组，为保证集群的正常使用请勿随意修改、删除安全组。 3.安全组名称由数字、字母、中文、、组成，不能以数字、和开头，长度232个字符。

配置项 说明 虚拟私有云 1.选择集群所在的虚拟私有云。 2.可跳转至虚拟私有云控制台创建新VPC。 安全组名称 1.安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同防护需求的节点提供安全访问策略。 2.集群在创建时为您自动创建安全组，为保证集群的正常使用请勿随意修改、删除安全组。 3.安全组名称由数字、字母、中文、、组成，不能以数字、和开头，长度232个字符。

本节介绍云安全中心产品咨询类问题。 云安全中心是否只是对其他云安全产品日志进行采集分析? 云安全中心产品除了采集其他安全产品的日志进行统一管理外，还提供编排响应以及处置的能力，能够对告警形成自己的处置流程，并进行自动化处置。云安全中心打通了云上的各类安全产品形成联动响应处置，帮助用户提升威胁响应处置效率。 云安全中心如何帮助客户满足等保合规要求? 云安全中心提供的插件管理、威胁运营、编排响应等功能，可以满足等保的“边界防护”、“访问控制”、“入侵防范”、“恶意代码和垃圾邮件防范”、“安全审计”、“恶意代码防范”、“集中管控”等要求。具体可参见等级保护测评解读。 云安全中心支持采集云上哪些安全日志? 云安全中心目前支持采集云上安全产品的安全告警日志，包括Web应用防火墙（原生版）、服务器安全卫士（原生版）、云等保专区、数据库审计、云堡垒机（原生版）企业版等产品。具体的日志类型请参见支持的日志类型。 短信使用余量是否会进行提醒？ 云安全中心会在短信剩余500条时、以及短信全部使用完时，提醒用户短信剩余量。

本文介绍如何开启企业级安全会议。 使用前提 下载安装各类终端：Windows客户端、macOS客户端、iOS客户端、Android客户端。 预定会议时，进行“更多安全设置”。 注意事项 敏感会议建议启用水印功能。 高风险会议可启用“会议锁定”或者限定“入会范围”。 应用场景说明 适用于涉及敏感信息、客户隐私、公司战略的场景： 法务、财务、内控审计类会议。 战略汇报、高管决策会议。 涉密技术讨论与客户合作方案评审。 通过多层次安全控制，保障会议内容仅在授权范围内传播，避免泄密和信息风险。 操作步骤 会前，会议创建者在“预定会议”时可设置“入会密码”，并进行“更多安全设置”。 会中，主持人/联席主持人可点击“安全”>“会议管理”、“安全”>“参会者权限”进行锁定会议、限制入会范围、开启会议水印等管控操作。 会中，主持人/联席主持人可实时关注“成员管理”列表，密切关注参会成员，并对参会人员进行管控。 会后，会议创建者可通过“历史会议”>“详情”列表查看参会人进行审计。

本小节介绍云下一代防火墙设置接口IP地址和安全域配置以及开启防护操作方法。 设置接口IP地址和安全域配置 登录云下一代防火墙web界面，打开【网络→安全域】，查看安全域下接口数量和开启的防护模块。 开启安全域的功能策略模板 网络接口附属在安全域，同步调用安全域防护策略，需启用安全域中的威胁防护和对应的防护侧。 开启全局网络参数为入侵防御 全局网络参数的防护模式是基于系统的，可影响整体的安全防护引擎运行机制，开启防护后可依据策略动作对攻击进行拦截。 关闭防护功能 关闭防护功能仅需要针对全局网络参数做修改，关闭【防护】后会从系统层面进入仅监测模式，威胁日志全部显示为仅检测，无法做拦截。 注意 该功能请谨慎操作。

本小节介绍SSL VPN的产品特性。 身份安全——多因素身份认证 在用户身份安全方面，SSL VPN提供用户名密码、USB KEY、动态令牌、第三方认证（HTTP/HTTPS）、硬件特征码、数字证书、短信认证、LDAP、Radius多种身份认证方式保障用户接入身份的合法性。 终端安全——PC端移动端，全面保障 针对普通PC终端，可进行登录前系统安全状态检查，针对注册表、杀毒软件、系统版本、文件和应用等进行全面检查，确保只有安全终端才可以登录VPN访问业务服务器。在用户结束访问以后会自动清除Cookies、临时文件等遗留在客户端计算机上的信息，实现“零痕迹”访问，避免安全隐患。 权限安全——更细粒度，基于URL和业务账号进行授权 在应用授权方面，可针对每个部门、每个用户进行细致到应用、URL级别的授权，并可针对用户终端安全环境、登录时间、网络地址不同情况下的差别授权及灵活控制。采用了业内独有的主从账号绑定技术，对用户登录SSL VPN后访问应用的账号进行强制指定，防止采用他人账号的越权访问行为。通过更细粒度的授权机制，有效降低了黑客入侵的影响，提升业务系统安全性。 传输安全——加密强度持续关注 SSL VPN支持国际商用加密算法，用户可根据业务系统重要程度按需选择加密算法和密钥长度。通过标准加密算法保障数据传输安全。

回退独享引擎实例版本 仅支持回退到升级前的版本。 1. 登录管理控制台。 2. 单击页面顶部的区域选择框，选择区域。 3. 单击页面左上角的“服务列表”，选择“安全> Web应用防火墙（独享版）”。 4. 在左侧导航树中，选择“系统管理 > 独享引擎”，进入“独享引擎”页面。 5. 在目标实例所在行的“操作”列，单击“更多 > 回退”。 6. 在弹出的对话框中，确认满足并勾选以下三个条件后单击“确认”。 必须满足以下条件，才支持回退实例： 实例所在的ELB后端服务器组中存在多个活动实例，或该实例未接入业务。 ELB已开启HTTP/HTTPS健康检查。 ELB已关闭会话保持。 切换独享引擎实例安全组 当“实例类别”为“资源租户类”时，您可以切换独享引擎所属的安全组。切换安全组后，实例将受到该安全组访问规则的保护。 1. 登录管理控制台。 2. 单击页面顶部的区域选择框，选择区域。 3. 单击页面左上角的“服务列表”，选择“安全> Web应用防火墙（独享版）”。 4. 在左侧导航树中，选择“系统管理 > 独享引擎”，进入“独享引擎”页面。 5. 在目标实例所在行的“操作”列，单击“更多 > 切换安全组”。 6. 在弹出的对话框中，选择目标安全组后，单击“确认”，切换独享引擎实例安全组。

本章节主要介绍翼MapReduce的分配机架操作。 操作场景 大型集群的所有主机通常分布在多个机架上，不同机架间的主机通过交换机进行数据通信，且同一机架上的不同机器间的网络带宽要远大于不同机架机器间的网络带宽。在这种情况下网络拓扑规划应满足以下要求： 为了提高通信速率，希望不同主机之间的通信能够尽量发生在同一个机架之内，而不是跨机架。 为了提高容错能力，分布式服务的进程或数据需要尽可能存在多个机架的不同主机上。 Hadoop使用一种类似于文件目录结构的方式来表示主机。两层网络的集群如下图所示，Node1的Rack建议设置为 /Switch1/Rack1 ，Node4的Rack建议设置为 /Switch1/Rack2 。 两层网络结构 由于HDFS不能自动判断集群中各个DataNode的网络拓扑情况，管理员需设置机架名称来确定主机所处的机架，NameNode才能绘出DataNode的网络拓扑图，并尽可能将DataNode的数据备份在不同机架中。同理，YARN需要获取机架信息，在可允许的范围内将任务分配给不同的NodeManager执行。 当集群网络拓扑发生变化时，需要使用FusionInsight Manager为主机重新分配机架，相关服务才会自动调整。 对系统的影响 修改主机机架名称，将影响HDFS的副本存放策略、Yarn的任务分配及Kafka的Partition存储位置。修改后需重启HDFS、Yarn和Kafka，使配置信息生效。 不合理的机架配置会导致集群的节点之间的负载（包括CPU、内存、磁盘、网络）不平衡，降低集群的可靠性，影响集群的稳定运行。所以在分配机架之前，需要进行全局的统筹，合理地设置机架。

本文介绍边缘接入服务里的应用加速与安全与加速服务里的加速的区别。 安全与加速服务中的加速是基于HTTP/HTTPS协议的加速，而边缘接入里的应用加速是基于TCP/UDP协议的加速，加速协议不同。 安全与加速服务中的加速是面向网站加速、交易加速、上传下载类加速，而边缘接入里的应用加速是面向游戏类加速、办公应用类加速，加速的客户群体不同。 安全与加速服务中的加速计费模式是基于流量/带宽，详见：安全与加速计费概述，而边缘接入里的应用加速计费是基于流量/带宽、域名、端口数，详见：边缘接入计费概述，售卖方式不同。

本节介绍如何使用文件检测功能。 步骤一：创建检测规则 1. 登录大模型安全卫士实例。 2. 在菜单栏选择“内容安全 > 语料安全 > 检测规则”。 3. 点击“新增”, 举例自定义检测内容包含关键字“机密”等。 步骤二：上传验证文件 方式一：在客户代理模型上传包含步骤一中关键字内容的文件。 方式二：进入“内容安全 > 语料安全 > 文件检测”页面，点击“上传文件”上传包含步骤一中关键字内容的文件。 可以看到，上传的文件被成功拦截。

本章主要介绍通过弹性公网IP访问 。 为了方便用户访问开源组件的Web站点，MRS集群支持通过为集群绑定弹性公网IP的方式，访问MRS集群上托管的开源组件。该方式更加简便易操作，推荐使用该方式访问开源组件的Web站点。 为集群绑定弹性公网IP并添加安全组规则 1.在集群详情页的“概览”页签，单击“IAM用户同步”右侧的“同步”进行IAM用户同步，待IAM用户同步成功后，在集群详情页会出现“组件管理”页签。 2.单击“集群管理页面”右侧的“前往 Manager”。 3.弹出访问MRS Manager页面，绑定弹性公网IP并添加安全组规则。仅首次访问该集群的组件开源站点时，需要如下配置。 a. 绑定弹性公网IP，在弹性公网IP下拉框中选择可用的弹性公网IP。若没有可用的弹性公网IP，请单击“管理弹性公网IP”创建弹性公网IP后在该页面引用。若创建集群时已绑定弹性公网IP，请跳过该步骤。 b. 选择待添加的安全组规则所在安全组，该安全组在创建群时配置。 c. 添加安全组规则，默认填充的是用户访问公网IP地址9022端口的规则。如需对安全组规则进行查看，修改和删除操作，请单击“管理安全组规则”。 说明 自动获取的访问公网IP与用户本机IP不一致，属于正常现象，无需处理。 9022端口为knox的端口，需要开启访问knox的9022端口权限，才能访问MRS组件。 d. 勾选“我确认xx.xx.xx.xx为可信任的公网访问IP，并允许从该IP访问MRS Manager页面。” e. 单击“确定”，进入登录页面，用户名使用“admin”，密码为创建集群时设置的admin密码。 4.登录Manager页面，选择“集群 > 服务 > HDFS > NameNode WebUI> NameNode( 主机名称 ，主)”，访问开源组件Web站点。此处仅以HDFS NameNode为例介绍，其他组件访问地址请参考开源组件Web站点页面提供的站点地址。

检查安全组规则 Ping使用的是ICMP协议，请检查云主机对应的安全组是否放通了“入方向”的“ICMP”规则。 1. 登录管理控制台。 2. 选择“计算 > 弹性云主机”。 3. 在弹性云主机列表，单击待变更安全组规则的弹性云主机名称。 系统跳转至该弹性云主机详情页面。 4. 选择“安全组”页签，展开安全组，查看安全组规则。 5. 单击安全组ID。 系统自动跳转至安全组页面。 6. 在入方向规则页签，单击“添加规则”，添加入方向规则。 表 安全组规则 方向 类型 协议和端口 源地址 入方向 IPv4 ICMP：Any 0.0.0.0/00.0.0.0/0表示所有IP地址 7. 单击“确定”，完成安全组规则配置。 检查防火墙设置 如果云主机开启了防火墙，需要检查防火墙对Ping规则是否有限制。 Linux系统云主机 1. 执行以下命令查看防火墙状态，以CentOS 7操作系统为例。 Firewallcmd state 回显信息显示“running”代表防火墙已开启。 2. 查看云主机内部是否有安全规则所限制。 iptables L 回显信息如下图所示说明没有ICMP规则没有被限制。 图 查看防火墙规则 如果ICMP规则被限制，请执行以下命令启用对应规则。 iptables A INPUT p icmp icmptype echorequest j ACCEPT iptables A OUTPUT p icmp icmptype echoreply j ACCEPT

本章节主要介绍翼MapReduce的隔离主机操作。 操作场景 某个主机出现异常或故障，无法提供服务或影响集群整体性能时，可以临时将主机从集群可用节点排除，使客户端访问其他可用的正常节点。 说明 隔离主机仅支持隔离非管理节点。 对系统的影响 主机隔离后该主机上的所有角色实例将被停止，且不能对主机及主机上的所有实例进行启动、停止和配置等操作。 主机隔离后部分服务的实例不再工作，服务的配置状态可能过期。 主机隔离后无法统计并显示该主机硬件和主机上实例的监控状态及指标数据。 待操作节点的SSH端口需保持默认（22），否则将导致本章节任务操作失败。 操作步骤 1. 登录FusionInsight Manager。 2. 单击“主机”。 3. 勾选待隔离主机前的复选框。 4. 在“更多”选择“隔离”。 在弹出窗口中，输入当前登录的用户密码确认管理员身份，单击“确定”。 5. 在确认隔离的对话框中勾选“我确定隔离所选主机，接受可能出现的服务故障等后果。”单击“确定”。 界面提示“操作成功。”，单击“完成”，主机成功隔离，“运行状态”显示为“已隔离”。 6. 以root用户登录到被隔离主机上，执行pkill 9 u omm命令终止节点上的omm用户的进程，然后执行ps ef grep 'container' grep '${BIGDATAHOME}' awk '{print $2}' xargs I '{}' kill 9 '{}'命令查找并终止container的进程。 7. 管理员已排除主机的异常或故障后，需要将主机隔离状态取消才能继续使用该主机。 在“主机”界面勾选已隔离的主机，选择“更多 > 取消隔离”。 说明 取消隔离后，主机上所有角色实例默认不启动。若需要启动主机上角色实例，可以在“主机”页面勾选目标主机，然后选择“更多 > 启动所有实例”。

本章节主要介绍翼MapReduce的配置资源池的队列容量策略操作。 操作场景 添加资源池后，需要为Yarn任务队列配置在此资源池中可使用资源的容量策略，队列中的任务才可以正常在这个资源池中执行。 该任务指导系统管理员通过FusionInsight Manager配置队列策略。使用Superior调度器的租户队列，可以配置使用不同资源池的资源。 前提条件 已登录FusionInsight Manager。 已添加资源池。 任务队列不与其他队列相关联资源池，除了默认资源池。 操作步骤 1. 在FusionInsight Manager，单击“租户资源”。 2. 单击“动态资源计划”页签。 3. 单击“资源分布策略”页签。 4. “集群”参数选择待操作的集群名称，然后在“资源池”选择指定的资源池。 5. 在“资源分配”列表指定队列的“操作”列，单击“修改”。 6. 在“修改资源分配”窗口的“资源配置策略”页签设置任务队列在此资源池中的资源配置策略。 “权重”：表示租户能获得的资源。其初始值与最小资源百分比值一致。 “最小资源”：表示租户能获得的最少资源。 “最大资源”：表示租户能获得的最多资源。 “预留资源”：表示保留给租户自身队列，且不能借用给其他租户队列的资源。 7. 在“修改资源分配”窗口的“用户策略”页签设置用户策略。 说明 defaultUser(builtin)表示如果一个用户未配置策略，则默认使用defaultUser所指定的策略。该策略不可删除。 单击“添加用户策略”添加用户策略。 − “用户名”：表示用户的名称。 − “权重”：表示用户能获得的资源。 − “最多核数”：表示用户最多可以使用的虚拟核数。 − “最大内存”：表示用户最大可以使用的内存。 单击“操作”列的“修改”修改现有用户策略。 单击“操作”列的“清除”删除现有用户策略。 8. 单击“确定”保存配置。

本文介绍WAF功能收费详情。 WAF防护 价格标准 价格 安全加速WAF基础防护 必选（包含10个域名、基础WAF防护功能） 2000元/月 安全加速WAF防护请求数 按量收费，可购买套餐包 0.18元/万次 安全加速WAF域名数量 按量收费，若基础防护不满足可购买 200元/月/个 安全加速WAF域名扩展包 包周期，包含10个域名，域名不区分主子域名 1000元/月

导出病毒告警文件 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、选择“主动防御 > 病毒查杀”，进入“病毒查杀”界面。 4、在病毒文件告警事件列表上方，单击“导出”，导出所有病毒文件告警事件到本地。 5、在病毒查杀界面上方查看导出状态，待导出成功后，在主机本地默认下载文件地址，获取导出的病毒文件信息。 注意 导出过程中，请勿关闭浏览器页面，否则会导致导出任务中断。 管理文件隔离 被成功隔离的病毒文件会添加到“文件隔离箱”中，无法再对主机造成威胁。您也可以根据自身需要参考本章节恢复或删除已隔离文件。 恢复已隔离的文件 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、选择“主动防御 > 病毒查杀”，进入“病毒查杀”界面。 4、单击界面右上角“文件隔离箱”，弹出“文件隔离箱”弹窗。 5、单击文件隔离箱列表中“操作”列的“恢复”，弹出“恢复已隔离文件”对话框。 6、单击“确认”，恢复的文件将重新回到病毒事件列表中。 说明 执行恢复操作会将恢复隔离文件，请谨慎操作。