本文介绍如何在弹性云主机中卸载文件系统。 操作场景 当不再需要使用文件系统时，可以需要进行卸载。 前提条件 弹性云主机已挂载文件系统。具体操作参见挂载文件系统。 卸载文件系统前建议先终止业务和停止读写再卸载。 Linux系统卸载步骤 1. 登录天翼云控制中心，单击管理控制台左上角的，选择地域。 2. 选择“计算>弹性云主机”，进入弹性云主机页面，找到即将执行卸载操作的云主机。 3. 以root用户登录弹性云主机。执行如下命令，卸载文件系统目录。 umount 本地挂载路径 本地挂载路径为云主机上用于挂载文件系统的本地路径，例如“/mnt/sfs”。 Windows系统卸载步骤 1. 登录天翼云控制中心，单击管理控制台左上角的，选择地域。 2. 选择“计算>弹性云主机”，进入弹性云主机页面，找到即将执行挂载操作的云主机所在行。 3. 点击“远程登录”，使用管理控制台提供的VNC方式远程登录Windows弹性云主机。 4. 单击桌面左下角Windows按键，单击这台电脑，在网络位置处，右键单击要卸载的文件系统，选择“断开”。 5. 若网络位置下已挂载的文件系统已不存在即表示卸载成功。

解绑标签 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 数据库审计”，进入数据库审计实例管理页面。 4. 选择需要解绑标签的数据库审计实例，单击“标签”旁的编辑按钮。 5. 在弹出的编辑标签窗口中，单击目标标签操作列的“删除”。 6. 单击“确定”，解绑标签完成。

本节介绍连接Redis的网络要求。 任何兼容Redis协议的客户端都可以访问DCS的Redis实例，您可以根据自身应用特点选用任何Redis客户端，Redis支持的客户端列表请参见Redis客户端。 客户端连接Redis在不同的连接场景下，需要满足不同的连接约束： 使用同一VPC内客户端访问Redis实例。 安装了客户端的弹性云主机必须与Redis实例属于同一个VPC。Redis 4.0及以上版本的基础版实例，如果实例配置了IP白名单，需将弹性云主机的IP地址加入实例IP白名单，以确保弹性云主机与Redis实例的网络是连通的。 安全组配置，请参考如何选择和配置安全组。白名单配置，请参考配置Redis访问白名单。 客户端与Redis实例所在VPC为相同Region下的不同VPC。 如果客户端与Redis实例不在相同VPC中，可以通过建立VPC对等连接方式连通网络，具体请参考：缓存实例是否支持跨VPC访问。 客户端与Redis实例所在VPC不在相同Region。 如果客户端服务器和Redis实例不在同一Region，支持通过VPN等方式打通网络，请参考VPN。 在跨Region访问Redis实例时，实例域名无法跨Region解析，无法通过域名访问。可以通过在hosts中手动配置域名与IP绑定关系或使用IP进行访问。 公网访问 客户端公网访问Redis 4.0及以上版本实例时，请参考开启Redis公网访问并获取公网访问地址开启实例公网访问。 客户端公网访问Redis 3.0实例时，Redis缓存实例需要配置正确的安全组规则。当SSL加密功能关闭时，Redis实例的安全组入方向规则，必须允许外部地址访问6379端口；当SSL加密功能开启时，则必须允许外部地址访问36379端口。具体配置请参考常见问题：[如何选择和配置安全组](

本章节主要介绍翼MapReduce的修改OMS服务配置参数操作。 操作场景 根据用户环境的安全要求，管理员可以在FusionInsight Manager修改OMS中Kerberos与LDAP配置。 对系统的影响 修改OMS的服务配置参数后，需要重启对应的OMS模块，此时FusionInsight Manager将无法正常使用。 操作步骤 修改okerberos配置 1. 登录FusionInsight Manager，选择“系统 > OMS”。 2. 在okerberos所在行，单击“修改配置”。 3. 根据下表所示的说明修改参数。 okerberos参数配置一览表 参数名 说明 连接KDC最大时延（毫秒） 应用连接到Kerberos的超时时间，单位为毫秒，请填写整数值。 最大尝试次数 应用连接到Kerberos的最大重试次数，请填写整数值。 操作Ldap最大时延（毫秒） Kerberos连接LDAP的超时时间，单位为毫秒。 搜索Ldap最大时延（毫秒） Kerberos在LDAP查询用户信息的超时时间，单位为毫秒。 Kadmin监听端口 kadmin服务的端口。 KDC监听端口 kinit服务的端口。 Kpasswd监听端口 kpasswd服务的端口。 4. 单击“确定”。 在弹出窗口输入当前登录用户密码验证身份，单击“确定”，在确认重启的对话框中单击“确定”。 修改oldap配置 5. 在oldap所在行，单击“修改配置”。 6. 根据下表所示的说明修改参数。 oldap参数配置一览表 参数名 说明 Ldap服务监听端口 LDAP服务端口号。 7. 单击“确定”。 在弹出窗口输入当前登录用户密码验证身份，单击“确定”，在确认重启的对话框中单击“确定”。 说明 如果重置LDAP帐户口令需要重启ACS，操作步骤如下： 使用PuTTY，以omm用户登录主管理节点，执行以下命令更新域配置： sh ${BIGDATAHOME}/omserver/om/sbin/restartRealmConfig.sh复制 提示以下信息表示命令执行成功： Modify realm successfully. Use the new password to log into FusionInsight again.复制 执行 sh $CONTROLLERHOME/sbin/acscmd.sh stop ，停止ACS。 执行 sh $CONTROLLERHOME/sbin/acscmd.sh start ，启动ACS。

本章节主要介绍翼MapReduce的入服与退服实例操作。 操作场景 部分角色实例以分布式并行工作的方式对外部业务提供服务，服务会单独保存每个实例是否可以使用的信息，所以需要使用FusionInsight Manager为这些实例执行入服或退服的操作，变更实例的业务可用状态方式。 不支持该此功能的实例，默认无法执行任务。 说明 当前支持退服和入服操作的角色有：HDFS的DataNode、Yarn的NodeManager、HBase的RegionServer。 当DataNode数量少于或等于HDFS的副本数时，不能执行退服操作。若HDFS副本数为3时，则系统中少于4个DataNode，将无法执行退服，Manager在执行退服操作时会等待30分钟后报错并退出执行。 由于Mapreduce任务执行时，会生成一些副本数为10的文件，此时若DataNode实例数少于10时，将无法进行退服操作。 如果退服前，DataNode节点的机架数（机架数由各DataNode节点所配置的“机架”的名称数量决定）大于1；而退服部分DataNode后，剩余的DataNode节点的机架数变为1，则此次退服将会失败。所以需要在退服前评估退服操作对机架数的影响，以调整退服的DataNode节点。 在退服多个DataNode时，如果每个DataNode存储的数据量较大，如果执行选择多个DataNode同时退服，则很有可能会因超时而退服失败。为了避免这种情况，建议每次退服仅退服1个DataNode，进行多次退服操作。 操作步骤 1. DataNode节点退服前需要进行健康检查，步骤如下： 使用客户端用户登录客户端安装节点，并切换到客户端安装目录。 如果是安全集群，需要使用hdfs用户进行权限认证。 source bigdataenv

本文对宿主机续订、退订、扩容做出说明。 宿主机续订、退订、扩容操作说明 专属云内宿主机的续订、退订、扩容流程与专属云开通流程相同，您无法在控制台完成专属云内宿主机的续订、退订、扩容，您可向专属客户经理或拨打客服热线4008109889提出需求，我们将在最短时间帮助您进行资源开通，开通成功后会立刻告知您。 具体申请流程如下： 1. 请向您的专属客户经理提交专属云的开通申请，如果没有专属客户经理请拨打天翼云客服电话4008109889 2. 我们会在一个工作日内与您确认专属云的使用需求。 3. 专属云资源将会在需求确认完成后48小时内开通，请您耐心等待。 4. 专属云开通后我们会告知您开通完成，您可以登录天翼云控制中心管理您的专属云资源。 宿主机续订、退订、扩容计费说明 宿主机续订 ：已购资源到期前需联系客户经理进行续订。资源到期后计算资源将被冻结，资源保留15天。保留期内可进行续费，保留期后未续费的专属云资源将完全销毁，无法恢复。 宿主机退订：本产品不支持无理由退订 宿主机扩容：专属云的计费模式是以宿主机台数为计费量纲，您通过联系客户经理对宿主机扩容成功后，需要根据新扩容宿主机的计算单元、存储单元、网络单元综合定价后支付新扩容宿主机的费用，购买宿主机之后专属云开通云主机不再收取vCPU和内存的费用。具体专属云的计算单元、存储单元、网络单元的价格参见专属云（计算独享型）价格清单。

本文介绍云硬盘备份存储库冻结或到期的影响以及处理方法。 按需计费资源冻结 如果用户账户出现欠费，按需计费模式的云资源将被冻结进入欠费保留期，您将不能正常访问及使用云资源。保留期内云资源的业务中断，但对于您存储在云资源中的数据予以保留。欠费保留期内的云资源仍持续按需计费，此期间用户可以进行账号充值，充值时系统将会自动优先扣除欠费金额。充值成功至账户未欠费状态后，云资源的冻结状态将自动解除，相应云资源可恢复业务。若欠费保留期结束后用户账户仍没有充值成功，云资源将被释放，业务数据将无法恢复。 注意 欠费保留期的时长为15天。 资源冻结、解冻、欠费保留期到期时对业务的影响 资源冻结：存储库状态变为“已冻结”，限制资源的访问和使用，存储在存储库中的数据予以保留，欠费冻结保留期内的存储库不会按照已绑定的备份策略执行备份创建任务。 资源解冻：存储库状态更新，解除限制资源的访问和使用。但是需要您自行检查资源是否可以正常使用。 欠费保留期到期：销毁存储库，销毁存储在存储库中的数据。 资源使用建议 按需计费模式的存储库进入欠费保留期后将影响资源的正常使用，为避免因为账户欠费影响您的业务和数据，建议您开通帐户可用额度预警功能，并关注账户欠费等相关通知信息，以便及时充值，以确保帐户余额充足。 资源进入保留期后，您将不能正常访问及使用云服务（资源冻结），但对于您存储在云服务中的数据予以保留。 包年包月资源到期 在包年包月计费模式的云资源将要到期时，天翼云会以邮件的方式通知客户，如用户需继续使用，则可联系客户经理执行续订操作或自行在控制台续订存储库，续订规则请参见续订规则说明。如果用户未主动续订或者虽然开通了自动续订但自动续订失败，天翼云将发送资源超期提醒邮件，并且此时资源将进入保留期，保留期内云资源的业务中断，但对于您存储在云资源中的数据予以保留。保留期内用户可以续订资源，续订成功后云资源可恢复业务。保留期结束后云资源将被释放，业务数据将无法恢复。 注意 资源保留期的时长为15天。

本章节介绍如何查看已创建完成的备份任务。 1、登录控制中心； 2、选中【存储】【云硬盘备份】； 3、在云硬盘备份界面，单击【管理备份策略】按钮，进入管理备份策略页面； 4、选中已创建的备份策略，该策略下【备份任务】页签可查看选中备份策略的所有备份任务详情； 5、可通过该页签下列表右上方的搜索框，选择备份任务状态进行任务查找。 说明 当前任务列表支持查看最近30天内按照备份策略执行任务的情况。 30 天之前的根据备份策略生成的备份是否成功，可以通过云硬盘备份列表进行检查： 1.可以查到 30 天前对应时间点的备份且状态为“可用”，则表示备份成功。 2.如果期望的云硬盘备份不存在，且没有超过备份保存数量和进行过手动删除，或者备份状态为“错误”，则表示备份未成功。 最近一天的已完成的备份任务状态为“失败”时，将通过邮件和短信（注册用户时提供了邮箱地址和手机号的情况下）的方式提醒租户。

本章主要介绍步骤六：部署应用（ECS篇） 本章节以应用“phoenixsamplestandalone”为例，介绍如何将发布件部署至主机。若您需要了解如何署至CCE，请参照步骤六：部署应用（CCE篇）操作。 购买并配置ECS 本文档使用的是ECS，您也可以使用自己的Linux主机（Ubuntu 16.04操作系统）。 步骤 1 登录云主机控制台，购买云主机。 购买时的必要配置参照下表，表中未列出的配置可根据实际情况选择。 步骤 2 配置安全组规则。 样例项目的验证需要用到端口5000与5001，因此添加一条允许访问5000以及5001端口的入方向规则。 操作步骤如下： 1. 登录ECS页面，在列表中找到步骤步骤1中购买的ECS，单击服务器名称。 2. 选择“安全组”页签，参考“《云主机用户指南》>安全>安全组>配置安全组规格”添加一条协议为TCP、端口为50005001的入方向规则。 添加目标主机至项目 部署应用到ECS之前，需要先将目标主机添加到项目基础资源中。 步骤 1 进入“凤凰商城”项目，单击导航栏“设置 > 通用设置 > 基础资源管理”。 步骤 2 单击“新建主机集群”，输入集群名称“hosts”、选择操作系统（Linux）、关闭“使用代理机接入”开关，单击“保存”。 步骤 3 单击“新增目标主机”，在弹框中配置以下信息，勾选同意声明后，单击“添加”。 添加主机 配置项 配置建议 主机名 输入自定义主机名称。为了方便辨认，可与在购买并配置ECS时配置的ECS的名称保持一致。 IP 输入在购买并配置ECS中购买的ECS的IP。 用户名 输入“root”。 密码 输入在购买并配置ECS中购买的ECS的密码。 ssh端口 输入“22”。 步骤 4 页面显示一条主机记录，当“连通性验证”列的值显示为“成功”，表示主机添加完成。 若主机添加失败，请根据页面提示信息排查主机配置。

分析处理 在您采取措施处理问题前，首先需要判断影响CPU或带宽占用率高的进程是正常进程还是异常进程。不同类型的进程状态需要做不同处理。 正常进程分析处理建议 1. 如果您的操作系统是Windows 2008/Windows 2012，请检查内存大小，建议内存配置在2GB或以上。 2. 检查后台是否有执行Windows Update的行为。 3. 检查杀毒软件是否正在后台执行扫描操作。 4. 核对云主机运行的应用程序中是否有对网络和CPU要求高的需求，如果是，建议您变更云主机配置或修改带宽。 5. 如果云主机配置已经比较高，建议考虑云主机上应用场景的分离部署，例如将数据库和应用分开部署。 异常进程分析处理建议 如果CPU或带宽利用率高是由于病毒、木马入侵导致的，那么需要手动结束进程。建议的处理顺序如下： 1. 使用商业版杀毒软件或安装微软安全工具Microsoft Safety Scanner，在安全模式下扫描病毒。 2. 安装Windows最新补丁。 3. 使用MSconfig禁用所有非微软自带服务驱动，检查问题是否再次发生。 Linux云主机卡顿怎么办？ 当您发现云主机的运行速度变慢或云主机突然出现网络断开现象，则可能是云主机的带宽和CPU使用率过高导致。如果您已经通过云监控服务创建过告警任务，当CPU或带宽利用率高时，系统会自动发送告警给您。 Linux实例带宽流量过高或CPU使用率高，您可以按如下步骤进行排查： 1. 问题定位：定位影响云主机带宽和CPU使用率高的进程。 2. 问题处理：排查进程是否正常，并分类进行处理。 − 正常进程：优化程序，或变更云主机配置。 − 异常进程：建议您手动关闭进程，或者借助第三方工具关闭进程。

可视化大屏服务为客户提供网站整体安全状况的可视化大屏分析，实时展示网站安全运营情况。 glmoscodeexplain 如何开通可视化大屏服务？ 当前仅支持通过单击变更访问链接，进入变更访问链接后，单击【实例】，可按需在【全部产品】下拉框中过滤出【Web应用防火墙(边缘云版)】。 如果使用可视化大屏服务？ 客户如果购买了态势感知大屏服务，可以在控制台查看实时的安全态势感知服务。安全态势感知服务根据客户维度，实时展示客户业务整体的攻击情况，主要包括：攻击来源IP、攻击 TOP URL、攻击域名TOP排行、攻击类型分布、攻击类型趋势、攻击来源TOP排行、攻击趋势和滚动式的安全威胁信息等。具体功能介绍详见：态势感知 注意 暂时不支持单独退订可视化大屏服务，如果需要单独退订，请

本节主要介绍环境准备 创建微服务引擎前，您需要创建虚拟私有云（Virtual Private Cloud，以下简称VPC），并且已配置好安全组与子网。VPC为专享版的微服务引擎提供一个隔离的、用户自主配置和管理的虚拟网络环境，提升公有云中资源的安全性，简化云上网络部署。 背景介绍 如果用户已有VPC，可重复使用，不需要多次创建。 只有在相同VPC下的客户端才可以访问专享版微服务引擎。 操作步骤 1、登录管理控制台，进入控制中心，选择“网络 > 虚拟私有云”。 2、单击页面右上方的“创建虚拟私有云”，创建虚拟私有云。 3、根据界面提示创建虚拟私有云和子网。 如无特殊需求，界面参数均可保持默认。 创建虚拟私有云时，会同时创建子网，也可额外创建新的子网。

本文介绍什么是云SSO 云SSO（SingleSignOn）是基于“组织管理”实现的多帐号统一身份管理与访问登陆控制的功能。 客户可创建云SSO虚拟用户，并通过指定的门户地址访问不同的天翼云账号；并支持客户配置企业原有身份管理系统对天翼云多账号的单点登录访问。

本文介绍如何对不再继续使用的云搜索进行退订操作。 如您不再需要某一实例，可以退订实例释放资源。 约束限制 1. 退订实例时，云搜索服务会释放掉全部包括云主机、云硬盘通过云搜索服务购买的资源，您自行购买、设置的如VPC、弹性IP、对象存储等资源不会退订，您需要自行前往相关产品控制台退订。 2. 退订操作，资源会立即释放，数据会清理，请提前备份数据。 3. 具体涉及到退订的费用以及规则，详细请参见费用中心退订规则说明。 方法一：通过订单管理退订 1. 登录天翼云官网，进入“费用中心订单管理退订管理”页面，选择要退订的资源，点击退订，天翼云目前支持单个退订和批量退订。 2. 退订前仔细阅读退订须知，然后确认退订资源信息，信息确认无误后勾选协议，点击“退订”即刻完成退订，资源立即销毁。 方法二：从云搜索服务控制台退订 1.登录云搜索服务控制台，进入实例管理列表页，选择需要退订的实例。 2.在操作列单击“更多”>“退订"。 3.在跳转的页面进行退订操作，与订单管理方式退订操作一致。

本文为您介绍如何查看审计事件。 当您已开通云审计服务，系统开始记录云服务资源的操作，并支持查看近7天的操作事件。 本文为您介绍如何在云审计控制台查看操作审计事件。 前提条件 已开通云审计服务。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在控制台列表页，选择“云审计”。 4. 进入云审计控制台后，点击侧边栏“事件列表”。 5. 进入事件列表页面，事件列表上方支持通过筛选条件查询。 云审计支持五个维度的组合查询，说明如下： 时间筛选：支持快速点选近30分钟、近1小时、近1天、近7天的时间范围，也支持自定义时间范围。 读写类型：支持根据事件的读写类型进行筛选。 事件级别：支持根据事件等级进行筛选，当前事件等级包括normal（代表本次操作成功）、warning（代表本次操作失败）。 操作用户：支持根据同一租户下的不同主子账号进行筛选。 事件来源、资源类型、资源筛选：支持以资源维度进行多层级的筛选，最细粒度支持具体某个资源实例的筛选。 6. 筛选条件选择完成，点击“查询”，符合条件的事件将以列表显示出来。

云搜索服务已接入云审计服务。通过云审计服务，您可以查询云搜索服务相关的操作事件，便于日后的查询、审计和回溯。 云搜索服务默认接入云审计服务，云审计服务是云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 前提条件 开通云搜索服务实例对应资源池的云审计服务。 开通云审计服务建议您从官网对应资源池“控制中心”>“管理与部署”>“云审计”进入开通。 操作步骤 您可通过云审计控制台查看云搜索服务近7天的相关操作。具体查看方法参见查看审计事件。 当前已纳入云审计的关键操作列表 操作名称 资源类型 查询实例详情 instance 退订Logstash实例 instance 查询实例列表 instance 节点扩容 instance 磁盘容量 instance 实例升配 instance 重启实例 instance 创建管道 pipeline 更新管道 pipeline 部署管道 pipeline 停止管道 pipeline 查询管道列表 pipeline 查询管道内容 pipeline 删除管道 pipeline 开启Logstash日志功能 log 关闭Logstash日志功能 log Logstash绑定公网 node Logstash解绑公网 node

如何处理反弹Shell告警？ 您可以通过以下方式处理反弹Shell告警： 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航中选择“入侵检测 > 反弹Shell”。 3. 在反弹shell页面，找到被定义为反弹shell的记录，您可以根据服务器的IP、端口、进程等进行查询。 4. 处理反弹Shell告警。 加入白名单：在右侧操作栏中，单击“加入白名单”，即可将此反弹Shell告警加入白名单，后续相同来源IP的相同操作将不会产生告警。 标记为已处理：单击“标记已处理”，即可将本条告警记录标记为已处理，后续相同来源IP的相同操作将仍然会产生告警。 云主机遭受攻击为什么没有检测出来？ 若云主机在安装服务器安全卫士Agent之前就已被攻击，服务器安全卫士可能无法检测出来。 若云主机安装Agent之后，未开启防护，服务器安全卫士可能无法检测出来。 服务器安全卫士防护的是主机层面的入侵，若攻击为Web层面，服务器安全卫士无法检测防护，可以使用WAF等其他安全产品。 检测到入侵行为时，是否能够自动对安全事件进行处理？ 不能，服务器安全卫士（原生版）检测到入侵行为后会第一时间告警，处置行为由相关管理员进行，以避免处置行为与正常业务进程相冲突。 使用产品过程中，是否只开启病毒检测就可以了？ 在开启病毒检测功能的同时，安全管理员可使用入侵检测功能预防异常登录/暴力破解等非法攻击行为，防止攻击者使用非法手段投放病毒，同时可使用基线管理功能，优化云主机安全基线，预防病毒感染。

主机监控分为基础监控、操作系统监控、进程监控。 基础监控：弹性云主机（下文简称ECS）/物理机（下文简称BMS）自动上报的监控指标。 操作系统监控：通过在ECS或BMS中安装Agent插件，为用户提供服务器的系统级、主动式、细颗粒度监控服务。 进程监控：针对主机内活跃进程进行的监控，默认采集活跃进程消耗的CPU、内存，以及打开的文件数量等信息。 功能介绍 多种监控指标 安装Agent后，云监控服务会提供CPU、内存、磁盘、网络等四十余种监控指标，满足服务器的基本监控运维需求。 细颗粒度监控 安装Agent插件后，Agent相关监控指标为 1分钟上报 1 次。 进程监控 采集当前活跃进程占用的CPU、内存和打开文件数，让您了解弹性云服务器或裸金属服务器的资源使用情况。 使用主机监控 1. 登录管理控制台。 2. 单击“服务列表 > 云监控服务”。 3. 单击页面左侧的“主机监控”，进入“主机监控”页面。 4. 选择要安装Agent的ECS或BMS，安装Agent插件。 1. 修改待安装Agent的ECS或BMS的DNS并添加安全组，具体步骤请参见修改DNS与添加安全组（Linux）或修改DNS与添加安全组（Windows）。 2. 安装Agent，具体安装步骤请参见安装Agent（Linux）或安装配置Agent（Windows）。 5. 5分钟后，当插件状态为“运行中”，说明Agent已安装成功。 单击弹性云服务器右侧操作列的“查看监控指标”查看监控数据。

本节介绍智算套件概述。 前提条件 已创建云容器引擎智算版集群。 套件介绍 套件名称 版本 套件说明 驱动管理 1.0.2 为GPU云主机或物理机的算力调度提供硬件驱动。 模型预热 1.8.0 将模型从对象存储预热到本地盘，大幅提升模型部署效率。 智算套件控制面引擎 1.0.5 提供高可用控制面，管理智算套件控制台正常运行。 故障诊断 1.0.3 为集群提供集群巡检、故障诊断等能力。 网络 1.0.3 为集群容器提供使用RDMA网络的能力，包括IB和RoCE。 弹性数据集 1.0.0 支持数据集版本管理，提供弹性加载能力。 弹性训练 1.0.5 为集群提供AI任务接入，兼容主流AI框架和工具，包括TensorFlow、PyTorch、Horovod、Spark等。 GPU安全容器 1.0.0 支持Kata安全容器运行时，满足业务高安全需求。 智能调度 1.0.9 为集群提供智能任务调度策略，可支持Gang、Capacity、Binpack/Spread和Queue等智能调度。 监控 1.0.7 为集群提供硬件监控能力，可采集GPU/NPU，显存等，支持可视化查看GPU的分配、使用和健康状态。

编辑网页防篡改策略 1. 登录web应用防火墙（边缘云版）控制台，在左侧导航栏中选择【域名管理】—【域名列表】，单击域名列表操作【安全防护】进入高级防护页面 2. 进入“网页防篡改”页面，单击【编辑】 注意 若您的源站存在更新，需要手动点击操作列【更新缓存】按钮，将会自动获取最新该页面最新的静态资源 删除网页防篡改策略 1. 登录web应用防火墙（边缘云版）控制台，在左侧导航栏中选择【域名管理】—【域名列表】，单击域名列表操作【安全防护】进入高级防护页面 2. 进入“网页防篡改”页面，选择您要删除的防护规则，单击【删除】按钮 配置示例 场景：某政企网站需要对首页设置防篡改功能，避免网站首页受到恶意篡改。 配置： 规则名称：xx网站首页防纂改 URL： 防护状态：开启 域名是否有CDN加速：否（需要根据自身情况选择） 防护方式：拦截

本文介绍弹性伸缩与其他服务之间的依赖关系。 弹性伸缩依赖弹性云主机、云监控、负载均衡、虚拟私有云实现自动扩缩容功能，与其他服务的关系如图所示： 弹性伸缩与其他服务的联系详情如下表： 相关服务 功能交互 相关链接 弹性云主机（CTECS，Elastic Cloud Server） 弹性云主机是弹性伸缩中伸缩活动的主要对象，用户需要为伸缩组增加或减少弹性云主机来确保业务的稳定运行。 伸缩配置管理 弹性负载均衡（CTELB ，Elastic Load Balancing） 弹性伸缩可联动负载均衡，当伸缩组中增加或减少弹性云主机时，会自动将其纳入负载均衡监听器的监听范围，并按照预设分发算法为其分发访问请求，扩展应用系统对外的服务能力，实现更高水平的应用程序容错性能。 添加负载均衡器 虚拟私有云（CTVPC，Virtual Private Cloud） 为不同的伸缩组提供逻辑隔离，构建一个私密、安全的虚拟私有网络环境，用户可以为每一个伸缩组进行网络配置，包括子网、安全组等。 创建伸缩组 云监控 当用户通过弹性伸缩配置了告警策略或目标追踪策略，云监控会成为伸缩控制工具，监控预设的性能指标是否到达阈值，若达到则触发伸缩活动，若未达到则保持原样。 伸缩组和实例的监控

本文介绍AOne在传媒行业的最佳实践。 背景信息 随着数字化媒体的崛起和互联网的普及，传媒行业正经历变革。人们越来越倾向于通过在线平台获取新闻、音频、视频和其他媒体内容，这为传媒公司提供了更广阔的市场机会。然而，传媒行业面临着一系列独特的挑战，包括内容分发的效率、用户体验、内容安全和网络攻击等问题。 天翼云边缘安全加速平台AOne基于全球部署的1800+边缘节点提供极致性能提升和安全防护能力，帮助传媒行业提供更好的媒体内容交付和用户体验。 技术架构 应用场景 内容分发与加速 业务挑战：传媒公司需要在高流量时期，如热门新闻报道、直播活动，保证内容的高效传输，避免加载缓慢影响用户体验。 方案优势：AOne的内容分发网络（CDN）技术可以将内容缓存到离用户更近的边缘节点，提高内容加载速度，减少网络延迟，确保用户能够流畅访问多媒体内容。 社交媒体优化场景 业务挑战：社交媒体平台需要快速加载图片、视频和链接，同时点赞评论快速响应，以提供流畅的用户体验。 方案优势：AOne的优化服务可以加速社交媒体内容的加载速度，增强用户在平台上的互动和参与。

本文主要介绍了关闭重点操作短信验证的操作流程。 操作说明 关闭后，您在进行重点操作时，无需输入验证码进行验证。 操作流程 1.登录天翼云账号，点击右上角头像下方的【个人中心】进入基本信息，下拉点击“安全设置”再点击“登录保护”如下图所示。 2.点击【立即修改】跳转至概览/设置敏感操作保护，如下图所示。 3.选择关闭，如下图所示。 4.点击【保存】，即可关闭重点操作保护。

配置组件 完成组件选项配置。 配置项 描述 智算套件 设置是否安装智算套件 Ingress 设置是否安装Ingress网络组件。如果有对外暴露服务的需求，则推荐安装Ingress组件。默认为Nginx Ingress。可选择不安装。安装Nginx Ingress需要配置可用的ELB，请选择 80 或 443 端口未被监听的 ELB 服务发现 是否安装 NodeLocal DNSCache组件。NodeLocal DNSCache用于在节点上运行 DNS 缓存代理以提升域名解析性能和稳定性 AccessKey 设置您的AccessKey和SecurityKey，您可以通过“账号中心”>“安全设置”>“用户AccessKey”中查看您的AccessKey、SecurityKey信息 日志服务 设置是否启用日志服务，开启后，将自动为您安装ctglogoperator插件，该插件是天翼云自研基于CCSE的一站式日志插件，为CCSE提供的日志采集、存储、检索能力，具有日志数据集中存储，高效压缩，秒级检索等特性 集群巡检 是否启用集群巡检功能，开启后，使用集群巡检定时扫描集群状态，识别潜在风险 确认配置 单击下一步，确认开通配置信息，仔细阅读并选中服务协议，然后单击提交订单。 提交订单后，您可以云容器引擎控制台的集群列表页面查看所创建的集群。 等待智算集群创建成功后，集群状态变成运行中状态。点击集群名称进入集群详情界面，可以查看集群相关信息。

基础配置 集群名称。 企业项目： 该参数仅对开通企业项目的企业客户帐号显示。 选择某企业项目（如：default）后，集群、集群下节点、集群安全组、节点安全组和自动创建的节点EIP（弹性公网IP）将创建到所选企业项目下。为方便管理资源，在集群创建成功后，建议不要修改集群下节点、集群安全组、节点安全组的企业项目。 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。了解更多企业项目相关信息，请查看企业管理。 集群版本：选择集群使用的Kubernetes版本。 集群规模：集群支持管理的最大节点数量，请根据业务场景选择。创建完成后支持扩容，不支持缩容。 高可用：控制节点分布方式，默认随机分配，控制节点尽可能随机分布在不同可用区以提高容灾能力。您还可以展开高级配置自定义控制节点分布方式，支持如下2种方式。 随机分配：通过把控制节点随机创建在不同的可用区中实现容灾。 自定义：自定义选择每台控制节点的位置。 主机：通过把控制节点创建在相同可用区下的不同主机中实现容灾。 自定义：用户自行决定每台控制节点所在的位置。 网络配置 集群网络涉及节点、容器和服务，强烈建议您详细了解集群的网络以及容器网络模型，具体请参见网络概述。 网络模型：CCE集群支持“VPC网络”和“容器隧道网络”，详细介绍请参见VPC网络和 容器隧道网络。CCE Turbo集群支持“云原生网络2.0”。 虚拟私有云：选择集群所在的虚拟私有云VPC，如没有可选项可以单击右侧“新建虚拟私有云”创建。创建后不可修改。 说明 1.15及以上版本容器隧道网络的CCE集群支持开启IPv4/IPv6双栈。 v1.23.8r0及以上版本的CCE Turbo集群支持开启IPv4/IPv6双栈。 控制节点子网：选择控制节点（即集群Master节点）所在子网，如没有可选项可以单击右侧“新建子网”创建。创建后控制节点子网不可修改。 容器网段：设置容器使用的网段。VPC网络模型支持添加多个容器网段，且支持集群创建后添加容器网段。 默认容器子网（CCE Turbo集群设置）：选择容器所在子网，如没有可选项可以单击右侧“新建子网”创建。容器子网决定了集群下容器的数量上限，创建后支持新增子网。 服务网段：同一集群下容器互相访问时使用的Service资源的网段。决定了Service资源的上限。 创建后不可修改。

安全边缘节点 在天翼云所有文档中，边缘节点、CDN节点、Cache节点、缓存节点、加速节点、天翼云节点等都是指天翼云边缘节点。边缘节点是相对于网络的复杂结构而提出的一个概念，指距离最终用户接入具有较少的中间环节的网络节点，对最终接入用户有较好的响应能力和连接速度。其作用是将访问量较大的网页内容和对象保存在服务器前端的专用Cache设备上，以此来提高网站访问的速度和质量。 分布式监测集群 分布式结构就是将一个完整的系统，按照业务功能，拆分成一个个独立的子系统，在分布式结构中，每个子系统就被称为“服务”。这些子系统能够独立运行在web容器中，它们之间通过RPC方式通信。因此按照微服务的思想，网站安全监测产品的功能模块可拆分成多个独立的服务，即：安全事件监测、漏洞监测、可用性监测、DNS监测、内容安全监测。每个服务都是独立的项目，可以独立运行。如果服务之间有依赖关系，那么通过RPC方式调用。单机处理到达瓶颈的时候，就把单机复制几份，这样就构成了一个“集群”。集群中每台服务器就叫做这个集群的一个“节点”，所有节点构成了一个集群。每个节点都提供相同的服务，那么这样系统的处理能力就相当于提升了好几倍（有几个节点就相当于提升了这么多倍）。分布式监测集群可以在实现网站安全监测产品完整、系统化的同时，能够解决访问速度和质量的问题。 网站可用性 网站可用性(web usability)是衡量用户体验的指标, 是对用户使用网站达成目标是否顺利、以及在这个过程中用户是否满意的综合衡量，反应在具体指标上关注的有目标站点的响应速度、可访问性等。 Web漏洞 Web漏洞通常是指网站程序上的漏洞，可能是由于代码编写者在编写代码时考虑不周全等原因而造成的漏洞，常见的Web漏洞有Sql注入、Xss漏洞、上传漏洞等。如果网站存在Web漏洞并被黑客攻击者利用，攻击者可以轻易控制整个网站，并可进一步提权获取网站服务器权限，控制整个服务器。主要有以下几种攻击方法：SQL注入、XSS跨站点脚本、跨目录访问、缓冲区溢出、cookies修改、Http方法篡改、CSRF、CRLF、命令行注入。 DNS DNS即Domain Name System，是域名解析服务的意思。它在互联网的作用是：把域名转换成为网络可以识别的ip地址。人们习惯记忆域名，但机器间互相只认IP地址，域名与IP地址之间是一一对应的，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，整个过程是自动进行的。比如：上网时输入的www.baidu.com会自动转换成为220.181.112.143。 Web安全 相关Web应用层面的安全问题与事件,包括各种Web组件、协议、应用等。 网站白名单 通过设置网站白名单，可以让满足条件的请求不经过任何网站安全监测防护模块的检测，直接访问源站服务器。 IP黑名单 支持一键阻断来自指定IP地址、IP地址段以及指定地理区域的IP地址的访问请求。 网页挂马 网页挂马指的是把一个木马程序上传到一个网站里面然后用木马生成器生一个网马，再上到空间里面，而后加代码使得木马在打开网页时运行。 暗链攻击 暗链就是看不见的网站链接，其在网站中做得非常隐蔽，短时间内不易被搜索引擎察觉。暗链攻击，是指黑客通过隐形篡改技术在被攻击网站的网页植入暗链，这些暗链往往被非法链接到色情、诈骗、甚至反动信息。

本节介绍如何查看云安全中心审计事件。 支持审计的操作列表 事件名称 读写类型 资产管理资产导入模板下载 写类型 资产管理资产导入 写类型 告警管理工单处置小结上传文件 写类型 资产管理资产导出 读类型 分析中心图表分析导出 读类型 告警管理工单处置小结下载文件 读类型 查看云审计事件 1. 登录云审计产品控制台，默认进入云审计事件列表页面。 2. 事件来源 选择“安全”，资源类型选择“云安全中心”，单击“查询”，筛选云安全中心事件。 3. 在需要查看的事件左侧，单击展开该事件的详细信息。 4. 在需要查看的事件右侧，单击操作列的“查看详情”，弹出一个窗口显示该操作事件结构的详细信息。 关于事件详情中字段详解，请参见审计服务事件参考。

您可以在天翼云官网通过“提交工单”的方式获取弹性云主机的物理机房位置。 具体操作如下： 1. 登录管理控制台，进入“新建工单”。 2. “产品类”选择“弹性云主机”。 3. 填写工单需求，如：获取XX云主机的物理机房位置，同时填写联系方式等，点击提交工单。 4. 等待工单工程师回复，获取具体信息。

计费示例 假设您的云主机每天产生100GB原始日志，并开启全文索引，日志保存时长设置为30天，压缩率为20%。在该案例下，使用一个月后，产生的费用明细如下所示： 计费项 说明 月使用量 单价 月计费 日志存储量 原始日志存储量100GB x 20% x 30天 600GB 被构建索引的日志存储量100GB x 30天 3000GB 3600GB 0.0004792元/GB/小时 （3600GB500MB免费额度/1024）× 0.0004792 24小时 30天1241.91元 日志读写流量 产生的读写流量100GB x 20% x 30天 600GB 600GB 0.18元/GB （600GB500MB免费额度/1024）× 0.18元/GB107.91元 日志索引流量 产生的日志索引流量100GBx 30天 3000GB 3000GB 0.35元/GB （300GB500MB免费额度/1024）× 0.35元/GB1049.82元

CC防护 业务正常运行时，建议采用“常规”防护模式。 由于CC防护的“紧急”防护模式可能产生一定量的误拦截，如果您的业务为App业务或Web API服务，不建议您开启“紧急”防护模式。如果使用CC安全防护的正常模式仍发现误拦截现象，建议您使用“精准访问控制”功能放行特定类型请求。 说明 业务接入WAF防护一段时间后（一般为23天），可以通过分析业务日志数据（例如，访问URL、单个IP访问QPS情况等）评估单个IP的请求QPS峰值，提前通过自定义CC防护策略配置限速策略，避免遭受攻击后的被动响应和临时策略配置。 BOT防护 当您的业务经常受到爬虫骚扰或面临数据泄露、被篡改的风险，针对防护需求，建议您为网站开启BOT防护功能。BOT防护设置支持公开类型、自定义会话策略两大类防护策略。 公开类型：云WAF提供已知公开的BOT大类，包括Web爬虫、扫描器、语言库等爬虫类型，用户可以根据自身需求对公开BOT类型设置防护状态及防护动作，WAF将对命中公开类型的BOT请求进行相应处理。 自定义会话策略：提供自定义协议特征、自定义会话特征两类防护策略，每种类型特征包含多个判定维度，用户可以根据实际业务情况设置协议特征规则状态、自定义会话策略，WAF将对命中防护策略的请求进行处理。

本章节主要介绍翼MapReduce组件Kafka作业的常见问题。 该报错是由于kafka消费者组缺少ACL授权导致的。 可以通过如下命令赋予消费者组XXX读取权限： ./kafkaacls.sh authorizerproperties zookeeper.connectlocalhost:2181/kafka add allowprincipal User:UserName operation Read group XXX

概述 JWT全称为 JSON Web Token，是一种开放标准（RFC 7519），它定义了一种在通信各方之间以JSON对象形式安全传输信息的方式。JWT可以使用HMAC、RSA、ECDSA等算法签名；在应用中，JWT可以用于用户身份认证和访问鉴权。云原生网关作为微服务的访问入口，是实现认证鉴权的理想节点，当前云原生网关支持JWT认证方式，交互流程如下： 1. JWT签发阶段，云原生网关对这类接口访问不做认证，将请求透传到业务授权服务。 2. 业务授权服务认证成功后签发JWT并返回给客户端，在后续的请求中客户端会带上JWT。 3. 云原生网关收到正常的业务请求时提取JWT并校验签名信息，校验通过则放过请求，否则返回401状态码。 JWT策略配置 云原生网关支持全局的JWT策略配置，在 安全认证 > 认证鉴权 菜单下，选择创建鉴权，鉴权类型选择JWT，填写相关参数即可创建JWT认证策略，JWT配置参数说明如下： 配置 说明 鉴权名称 唯一标识一个JWT鉴权配置，只能包含大小写字母、数字和‘’，且不能以‘’开头或者结尾。 加密算法 支持HS256、HS512、RS256。 密钥 选择HS256/ HS512算法时填写，需要指定是否base64编码，并提供密钥。 RSA密钥 选择RS256算法时填写，需要提供RSA算法公钥和私钥。 JWT Token配置 网关从请求获取JWT Token的位置，支持指定header、query和Cookie的key。 过期时间 JWT Token过期时间，默认86400秒。