操作步骤 1.登录边缘安全加速控制台，进入对应服务； 2.左侧导航栏选择 日志>内网日志下载； 3.筛选对应访问时间，单击下载对应的日志文件。

kubelet超卖兼容模式 规格约束 集群版本： v1.19集群：v1.19.16r4及以上版本 v1.21集群：v1.21.7r0及以上版本 v1.23集群：v1.23.5r0及以上版本 v1.25及以上版本 集群类型：CCE Standard集群或CCE Turbo集群。 节点OS：EulerOS 2.9 (内核kernel4.18.0147.5.1.6.h729.6.eulerosv2r9.x8664)或者HCE OS 2.0 节点类型：弹性虚拟机。 Volcano插件版本：1.7.0及以上版本。 使用限制 使用超卖特性时，需保证Volcano未启用overcommit插件。 修改超卖节点标签不会影响已经运行的pod。 运行中的pod无法进行在线和离线业务转换，如需转换需要重建pod。 集群中有节点配置超卖标签volcano.sh/oversubscriptiontrue时，Volcano插件必须要增加oversubscription配置，否则会导致超卖节点调度异常。标签配置需要由用户保证，调度器不会对插件和节点配置进行检查。 超卖特性开关目前不支持统一配置，若要关闭超卖特性，需要同时进行以下操作： 去掉超卖节点的volcano.sh/oversubscription标签。 修改Volcano调度器的名字为volcanoschedulerconfigmap的configmap，并去掉oversubscription插件。 当节点设置cpumanagerpolicy为静态绑核时，不允许将离线Pod设置为Guaranteed的Pod，若需要绑核则需要调整Pod为在线Pod，否则可能会发生离线Pod占用在线Pod的CPU导致在线Pod启动失败，以及离线Pod虽然调度成功但仍然启动失败的情况。 当节点设置cpumanagerpolicy为静态绑核时，不应对所有在线Pod进行绑核，否则会出现在线Pod占用了所有的CPU或者memory资源导致上报的超卖资源很少的情况。 集群中有节点配置超卖标签volcano.sh/oversubscriptiontrue时，Volcano插件必须要增加oversubscription配置，否则会导致超卖节点调度异常。 标签配置需要您自行保证，调度器不会对插件和节点配置进行检查。 超卖标签配置调度说明 插件超卖配置 节点超卖标签 调度行为 有 有 超卖调度 有 无 正常调度 无 无 正常调度 无 有 无法调度，或者调度失败，应避免这种配置 1. 使用kubectl连接集群。 2. 确认Volcano插件配置。 plaintext kubectl edit cm volcanoschedulerconfigmap n kubesystem 在volcano schedulerconfigmap中查看超卖的相关配置如下。同时确保插件配置中不能包含overcommit插件，如果存在（ name: overcommit），则需要删除该配置。 plaintext ... data: volcanoscheduler.conf: actions: "allocate, backfill, preempt"

本节介绍了用户指南: 并行文件概述。 云容器引擎支持使用天翼云并行文件存储卷。cstorcsi插件支持使用并行文件动态存储卷和静态存储卷，通过将并行文件存储卷挂载到容器指定目录，可满足数据持久化需求。 并行文件服务提供高性能并行文件存储，支持全NVMe闪存与RDMA技术，最高可实现百万级IOPS和百GBps吞吐量，同时保障亚毫秒级延迟。该服务具备高性能、高可靠性和高可扩展性特点，能够充分满足影视渲染、AI训练及自动驾驶等数据密集型场景的需求。 使用限制 插件版本 使用并行文件存储功能，需要cstorcsi插件版本 >3.3.2 容器集群 当前并行文件服务功能仅智算集群可见 文件协议 当前cstorcsi插件仅支持HPFSPOSIX协议 容量 单个文件系统最小容量为512GB 可用区 协议类型为hpfs时，不支持跨可用区挂载。 使用并行文件存储PVC的Pod将会被强制调度到该PVC创建时指定的的可用区内 其他限制 参见 并行文件使用限制 产品优势 共享访问 1. 支持上千台客户端挂载同一文件系统，实现共享访问。 2. 支持 NFS、HPFSPOSIX 协议类型，用户能够在创建文件系统时指定协议类型，通过标准 POSIX 接口访问数据，无缝适配主流应用程序进行数据读写。 3. 支持 MPII/O 并行计算接口，满足多客户端并行计算场景。 弹性扩展 1. 采用可扩展的元数据架构，单个文件系统可支持几十亿级别的文件数量，在海量文件场景下，仍然保持稳定持续的高效访问性能。 2. 分钟级别快速扩容，用户可根据实际需要对文件系统进行在线扩容，扩容过程 IO 不中断，保障业务连续性。 安全可信 1. 支持使用 VPC 用户隔离、权限组等安全管理功能进行访问权限控制，保障数据安全可靠。 2. 使用多种 EC 方式、热备盘备份保证数据的可靠性。 3. 支持 HA，故障时自动切换，服务可用性在99.90%及以上。 性能优越 1. 可支持高性能100GE 以太网、IB、RoCE 网络。 2. 带宽、IOPS 性能可以随文件系统容量线性提升，最高提供百万 IOPS 和百 GBps 吞吐，同时保证亚毫秒级时延，使得数据访问更加高效。

开启防护后，云防火墙默认放行所有流量，您可以配置防护规则，实现流量的拦截/放行。 防护规则支持防护以下几种场景： 防护互联网边界中公网资产的流量，请参见“互联网边界防护规则”。 防护互联网边界中私网资产的场景，请参见“NAT流量防护规则”。 防护VPC与VPC之间、VPC与线下IDC之间的访问流量，请参见“VPC边界防护规则”。 注意 如果IP为Web应用防火墙（WAF）的回源IP，建议配置放行的防护规则或白名单，请谨慎配置阻断的防护规则，否则可能会影响您的业务。 回源IP的相关信息请参见《Web应用防火墙用户指南》中《放行WAF回源IP》。 配置白名单请参见“通过添加黑白名单拦截/放行流量”。 规格限制 仅“专业版”支持VPC边界防护和NAT流量（私网IP）防护。 约束条件 CFW不支持应用层网关(Application Level Gateway，ALG)。ALG能够对应用层数据载荷中的字段进行分析，并针对在载荷中会包含端口和IP地址的多通道协议（例如FTP、SIP等）动态调整策略。但CFW的防护策略仅支持对端口设置静态策略。如果需要允许多通道协议通信，建议配置一条放通所有端口的规则。 CFW长连接业务场景限制，配置策略的时候需要同时开启双向放通的安全策略，如果只开启单向策略，部分场景（开启和关闭防护）需要客户端重新发起连接。 配额限制： 最多添加20000条防护规则。 单条防护规则最大限制如下： 最多添加20条IP地址（源和目的各20条）。 最多关联2条“IP地址组”（源和目的各2条）。 最多关联5条服务组。 域名防护限制： 域名防护时不支持添加中文域名格式。 网络型域名组最多只能保存1000个地址解析结果，超出时，可能导致无法正常访问对应的域名；对于解析结果较多或变化频繁的域名，如果防护流量是HTTP、HTTPS协议，建议优先使用应用型域名组添加策略。 域名防护依赖于用户配置的域名服务器。默认域名服务器可能存在域名解析对应的IP地址不全，建议有访问自身业务相关域名场景时配置“DNS服务器配置”。 仅入方向规则（“方向”配置为“外内”）的“源”地址支持配置“预定义地址组”。

本章节主要介绍工作负载队列功能。 功能介绍 DWS工作负载队列的具体功能包括：并发管理、内存管理、CPU管理以及异常规则。 并发管理 并发，即资源池中的最大查询并发数。并发管理作为运行前管理，用于限制查询并发运行的数量，通过限制查询并发数降低资源争抢，保证资源的有序高效利用。 在资源池页面“短查询配置”一栏，您可以通过开关键决定是否开启短查询加速功能。如果需要对简单语句并发数（默认值为1，0 或1表示不控制）进行修改，可选择打开短查询加速。 并发管理规则如下： 短查询加速开启，复杂查询受工作负载队列并发控制，简单查询受短查询并发控制。 短查询加速关闭，复杂查询和简单查询均受工作负载队列并发控制，短查询并发控制无效。 内存管理 内存资源，即工作负载队列所占用的内存百分比。 内存管理的目的：防止数据库系统占用内存过高导致内存溢出(OOM)和实现资源池之间的内存隔离和限制。为满足这两个目的，工作负载管理从以下两方面进行内存管理： 全局内存管理 为防止数据库系统使用内存过大导致OOM，设置数据库系统全局内存上限(maxprocessmemory)，对数据库全局内存进行管理。全局内存管理包含运行前管理和运行中管理，运行中管理防止实际使用内存超限，运行前管理防止查询执行过程中报错，具体如下： −运行前管理： 一方面慢车道运行的所有查询估算内存都会进行统计，另一方面数据库系统实际使用内存会进行反馈，当实际使用内存大于统计内存时，对统计内存进行调整。查询运行前，判断全局剩余内存能否满足查询运行，满足情况下查询可以直接运行，否则查询需要排队，等待其他查询释放资源后运行。 −运行中管理： 查询执行过程中实际使用的内存也会进行统计，查询在申请内存时判断内存使用是否超限，内存超限查询报错，已用内存释放。 资源池内存管理 资源池内存管理属于专属限额的管理方式，即资源池分配多少内存就只能使用多少内存，空闲出来的内存其他资源池不能使用。 资源池内存分配采用百分比方式，取值范围0~100。0表示资源池不进行内存管理，100表示资源池进行内存管理且可使用全局所有内存。 所有资源池分配的内存百分比之和不能超过100。资源池内存管理仅管控慢车道查询，且只包含运行前管理，处理逻辑与全局内存运行前管理类似。资源池慢车道查询运行前，进行估算内存统计，当统计内存大于资源池内存时，查询需要排队，等待资源池内其他查询运行结束释放资源后才能运行。

边缘安全加速平台依托全国各地的分布式边缘资源,实现网络底层对性能、安全、算力原子能力编排融入统一网络,实现多终端、多协议(5G/L3/L4/L7等)allinone的网络统一接入,满足不同场景需求的性能及安全智能边缘网络。

边缘安全加速平台依托全国各地的分布式边缘资源,实现网络底层对性能、安全、算力原子能力编排融入统一网络,实现多终端、多协议(5G/L3/L4/L7等)allinone的网络统一接入,满足不同场景需求的性能及安全智能边缘网络。

参数名 类型 是否必填 名称 说明 productcode string 否 产品类型 产品类型，“007”（安全加速） domain string 是 域名

本节介绍如何创建vLLM NPU单机PD分离任务。 前置条件 1. 确认智算套件已经安装并且全部运行中。 2. 进入智算套件，AI应用管理，队列管理，确保队列存在并且有足够的资源(NPU,CPU,内存) [参考创建队列的文档]。 操作步骤 创建任务 进入智算套件，AI应用列表，在线推理菜单，创建AI应用。 基本信息 应用类型：vLLM 开启PD分离选择 静态PD分离 配置信息 推理类型选择单机，推理框架、框架版本、推理模型、模型版本根据实际情况选择。简单的示例： 推理框架：ascendvllm 框架版本：v0.11.0rc2 推理模型：deepseekr1distillqwen1.5b 模型版本：v1 队列：选择存在且资源足够的的队列 Prefill CPU，内存，共享内存不填，NPU填：4。 Decode CPU，内存，共享内存不填，NPU填：4。 点击确认完成创建。

本章节向您介绍如何删除企业路由器的路由表。 约束与限制 当路由表为默认关联路由表或者默认传播路由表时，不支持删除。 如果需要删除默认关联路由表，需要先关闭“默认路由关联”和“默认路由传播”。 当路由表中有关联、传播关系时，不支持删除。 当路由表中只有静态路由时，支持删除。因此删除前请确保该路由已不再使用。 操作步骤 步骤1：登录管理控制台，进入企业路由器主页面。 步骤2：通过名称过滤，快速找到待删除路由表的企业路由器。 步骤3：您可以通过以下两种操作入口，进入企业路由器的“路由表”页签。 在企业路由器右上角区域，单击“管理路由表”。 单击企业路由器名称，并选择“路由表”页签。 步骤4：在路由表列表页面，单击目标路由表名称后的“删除”图标，弹出删除确认对话框。 步骤5：确认无误后，单击“是”删除路由表。 注意 路由表删除后无法恢复，请谨慎操作。

本节介绍了:云容器引擎发布 Kubernetes 1.23版本说明。 社区 Kubernetes 版本主要变更 Kubernetes 1.23 Changelog 1. FlexVolume弃用，推荐使用 CSI。 2. IPv4/IPv6 双栈网络 GA，使用双栈网路非强制要求。 3. HorizontalPodAutoscaler v2版本 GA，HorizontalPodAutoscaler autoscaling/v2beta2 API已弃用，建议使用 autoscaling/v2。 4. 通用临时卷功能 GA，此功能允许存储驱动程序动态供应临时卷，其生命周期与 Pod一致。 5. 跳过卷所有权变更功能 GA，此功能允许用户在 Pod 挂载存储卷时跳过递归地权限变更，从而加速 Pod 启动 6. PodSecurity 升级到Beta，取代已经弃用的 PodSecurityPolicy。Kubernetes 1.23中 PodSecurity 默认启用 更多信息请参考：Kubernetes 1.23 Changelog Kubernetes 1.22 Changelog 1. Ingress将移除 extensions/v1beta1 和 networking.k8s.io/v1beta1，Ingress影响7层路由转发能力，推荐使用 networking.k8s.io/v1 2. 资源 ValidatingWebhookConfiguration和 MutatingWebhookConfiguration admissionregistration.k8s.io/v1beta1 API将不再支持，继续使用老版本API将影响 Webhook的正常运行，建议使用 admissionregistration.k8s.io/v1 3. 资源 CustomResourceDefinition apiextensions.k8s.io/v1beta1 API将不再支持，继续使用老板本 API创建 CRD，将影响 Controller 的调协，建议使用 apiextensions.k8s.io/v1 4. APIService apiregistration.k8s.io/v1beta1已弃用，APIService影响 APIServer aggregator的路由，推荐更新为 apiregistration.k8s.io/v1 5. Kubernetes 发版节奏从一年4次改为一年3次 更多信息请参考：Kubernetes 1.22 Changelog

本文为您介绍什么是云专线。 云专线提供用户本地数据中心与天翼云VPC虚拟私有云之间的连接服务。云专线产品在充分利用中国电信云网融合优势的同时，依托现有的IT基础设施，灵活搭建云上云下高速、低时延、稳定安全的专属连接通道。 产品架构 云专线服务的物理专线一端连接本地数据中心的本地网关设备，一端连接云专线的专线网关，将客户本地数据中心的内部局域网连接到天翼云的接入点，对接天翼云上的虚拟专有网络VPC，实现安全、可靠、高速的内网级通信质量。 云专线服务的产品架构如下图所示： 云专线服务和VPN连接区别 云专线服务和VPN连接都是用于连接用户本地网络与天翼云平台之间的网络连接方式，但它们有一些区别。下表是它们之间的对比： 对比项 云专线服务 VPN连接 网络质量 云专线是通过专用线路物理专线来连接用户本地数据中心与天翼云数据中心，提供更可靠、低延迟的连接。 VPN是通过公共网络（如互联网）创建一个安全的加密通道，使得用户可以在不同地点之间建立私密的连接。 传输带宽 云专线兼容底层IPRAN、MSTP、MPLS VPN、OTN等多种线路类型，支持1G/10G/100G等多种端口带宽规格；同时提供端口聚合和链路能力，实现专线带宽随选和弹性扩容。 受限于公共网络的带宽，即互联网带宽为多少则VPN连接最大传输带宽是多少。 安全性 与互联网物理隔离，用户可以选择独享物理专线，用户独占一个物理端口资源，无数据泄露风险，安全性高。 基于互联网的加密通信，可以满足一般用户的网络传输安全性需求。 适用场景 云专线适用于需要大量带宽、稳定性和可扩展性的连接，比如大规模数据迁移、持续性数据传输等。 VPN连接适用于临时、小规模的连接需求。

背景信息 本文介绍如何在智算容器引擎加载DeepSeekR1 蒸馏模型。 前提条件 已开通包含GPU节点的Kubernetes集群。 已安装智算套件。 添加GPU节点 点击左侧【节点】>【节点池】，点击【创建节点池】。若集群已有GPU资源，请忽略。 在规格中可选择【x86计算】或【弹性裸金属服务器】中的【GPU计算加速型】或【GPU型】，节点池创建成功后，进入节点池列表，扩容节点至期望的节点数量。 操作步骤 进入云容器引擎控制台。 点击左侧【集群】进入集群列表。 点击使用的集群名称，进入集群。 点击左侧【工作负载】>【自定义资源】，选择资源浏览器，找到apps/v1/Deployment，选择命名空间，点击新增。 在创建yaml中，填入以下GPU模板信息后点击【创建】。 注意 1. 修改对应的镜像仓库地址前缀为对应资源池，可在容器镜像控制台查看，如武汉41，则修改{imagerepo}为registryvpccrswuhan41.cnspinternal.ctyun.cn。 2. namespace: 要和界面选择的一致。 3. 已经支持的资源池有华北2，武汉41，杭州7。 GPU模板 xml apiVersion: apps/v1 kind: Deployment metadata: name: deepseek spec: replicas: 1 selector: matchLabels: app: deepseek template: metadata: labels: app: deepseek spec: containers: name: deepseek image: {imagerepo}/opensource/openwebuideepseekr1:7b

参数名 类型 是否必填 名称 说明 productcode string 是 产品类型 “006”（全站加速） domain string 是 域名 支持单个域名

插件名称 插件类型 插件简介 cubeschedulerplugins 核心组件 自定义调度插件 cubenodelocaldns 网络 DNS缓存和加速DNS解析 nginxingresscontroller 网络 Ingress控制器 multus 网络 Pod多网卡CNI whereabouts 网络 为Pod分配IP地址 cstorcsi 存储 支持天翼云存储的CSI（容器存储接口） cubemetricsserver 监控 基础资源指标 cubemetricsadapter 监控 自定义指标 cubecronhpa 应用管理 定时伸缩 cubeverticalpodautoscaler 应用管理 Pod垂直伸缩 cubevolcano 应用管理 批处理调度 cubeopenkruis 应用管理 提供工作负载的增强功能 argoworkflow 应用管理 工作流 cubesecurity 安全 安全管理策略 certmanager 安全 k8s服务域证书管理 nodeproblemdetector 其它 节点问题检测 cubelxcfsplugin 其它 提供容器的资源相关信息

参数 是否必填 参数类型 说明 示例 下级对象 domain 是 list 加速域名列表 [“ctyun.cn”,“ctyun.cn1”] appname 否 list 发布点列表 [“app1”,“app2”]

本小节介绍日志审计(原生版)产品介绍类常见问题。 日志审计（原生版）是什么？ 日志审计（原生版）系统能够实时不间断地采集汇聚企业中不同厂商不同种类的安全设备、网络设备、主机、操作系统、用户业务系统的日志信息，协助用户进行安全分析及合规审计，及时、有效的发现异常安全事件及违规事件。 系统提供了众多基于日志分析的强大功能，如安全日志的集中采集、分析挖掘、合规审计、实时监控及安全告警等，系统配备了全球IP归属及地理位置信息数据，为安全事件的分析、溯源提供了有力支撑，综合日志审计分析系统能够同时满足企业实际运维分析需求及审计合规需求，是企业日常信息安全工作的重要支撑平台。 日志审计（原生版）市场需求有哪些？ 日志审计需求主要源自于两个方面的驱动力： 一方面，从企业和组织自身安全的需要出发，日志审计能够帮助用户获悉信息系统的安全运行状态，识别针对信息系统的攻击和入侵，以及来自内部的违规和信息泄露，能够为事后的问题分析和调查取证提供必要的信息； 另一方面，从国家法律法规、行业标准和规范的角度出发，日志审计已经成为了满足合规与内控需求的必备功能。 日志审计（原生版）适用范畴？ 日志审计（原生版）系统提供了众多基于日志分析功能，系统具有广泛的应用范围和客户群，在政府、企业、电信、金融、电力、公安、军工、等行业均有成功的应用，满足企业实际运维分析需求及审计合规需求，是企业日常信息安全工作的重要支撑平台。

产品分类 服务项 折扣说明 零信任服务远程办公 产品套餐（VPN版、基础版、企业版） 部署类型：混合部署/SaaS 按年购买，可享受1年8.5折、2年7.5折、3年6折、4年5.5折、5年4.5折折扣 零信任服务远程办公 流量中国内地流量包 无折扣 零信任服务远程办公 带宽扩展服务 支持按年购买，可享受1年8.5折、2年7.5折、3年6折、4年5.5折、5年4.5折折扣 零信任服务远程办公 账号数扩展 支持按年购买，可享受1年8.5折、2年7.5折、3年6折、4年5.5折、5年4.5折折扣 零信任服务远程办公 短信相关（资源包、扩展服务） 无折扣 网络服务（办公组网/全球加速) 区域带宽全球 无折扣 网络服务（办公组网/全球加速) 平台授权服务费 无折扣

参数名 类型 是否必填 名称 说明 action int 是 域名操作动作 固定值1 domain string 是 域名列表 productcode string 是 产品类型 “007”（安全加速） wafenable int 否 是否开启安全WAF防护 1（启用）；2（关闭） ddosenable int 否 是否开启安全抗D防护 1（启用）；2（关闭）；wafenable和ddosenable至少启用一个,且调用本接口开启安全抗D服务后，仍需人工处理，请创建后联系专属售后运营人员处理。 areascope int 否 加速范围 1（国内）；不填默认为1 ipv6enable int 否 ipv6启用 1（启用）；2（关闭），不传默认关闭 origin list 是 源站信息 origin[].origin string 是 源站ip或域名 origin[].port int 是 源站端口 支持http自定义端口，http不支持下发443端口 origin[].weight int 是 权重 范围：1100 origin[].role string 是 源站角色 取值: master, slave

本文介绍直播控制台概览页相关模块的用途。 您可以在天翼云直播控制台自助添加域名、配置证书、配置基础访问控制等，同时您还可以查看带宽、计费方式以及下载日志等。 直播控制台功能界面如下图所示。 导航栏 页面 说明 详情 相关说明 导航栏 直播控制台左侧导航栏主要功能为概览、域名管理、流管理、证书管理、功能配置、统计分析、日志下载、计费详情和地址生成器。 概览：可展示今日或本月的流量/带宽、近七天流量/带宽趋势、证书统计、域名统计、信息中心。 导航栏 直播控制台左侧导航栏主要功能为概览、域名管理、流管理、证书管理、功能配置、统计分析、日志下载、计费详情和地址生成器。 域名管理：添加加速域名、管理、删除已有加速域名，并可以对加速域名基本信息和配置信息进行更改。 [](·)域名管理 导航栏 直播控制台左侧导航栏主要功能为概览、域名管理、流管理、证书管理、功能配置、统计分析、日志下载、计费详情和地址生成器。 流管理：支持查看实时在线推流和历史推流，并支持对在线推流进行禁推、解禁以及断流等相关操作。 流管理 导航栏 直播控制台左侧导航栏主要功能为概览、域名管理、流管理、证书管理、功能配置、统计分析、日志下载、计费详情和地址生成器。 证书管理：可供客户自助添加、查看和删除HTTPS证书。 证书管理 导航栏 直播控制台左侧导航栏主要功能为概览、域名管理、流管理、证书管理、功能配置、统计分析、日志下载、计费详情和地址生成器。 功能配置：支持客户自助进行转码、截图、录制和回调等相关功能配置。 功能配置 导航栏 直播控制台左侧导航栏主要功能为概览、域名管理、流管理、证书管理、功能配置、统计分析、日志下载、计费详情和地址生成器。 统计分析：可通过不同维度查询流量带宽、回源统计、请求数、状态码、地区运营商、在线人数等相关数据。 统计分析 导航栏 直播控制台左侧导航栏主要功能为概览、域名管理、流管理、证书管理、功能配置、统计分析、日志下载、计费详情和地址生成器。 日志下载：可通过搜索域名、选择时间，下载该域名在该时间段的日志。 日志下载 导航栏 直播控制台左侧导航栏主要功能为概览、域名管理、流管理、证书管理、功能配置、统计分析、日志下载、计费详情和地址生成器。 计费详情：可查看或变更各产品的计费方式、查看资源包的用量。 计费详情 导航栏 直播控制台左侧导航栏主要功能为概览、域名管理、流管理、证书管理、功能配置、统计分析、日志下载、计费详情和地址生成器。 地址生成器：可自定义发布点和流名，生成URL示例；如果有配置了鉴权，还可以生成鉴权URL示例。 地址生成器

操作步骤 病毒防御策略 企业管理员可以在病毒防御策略中进行周期扫描、下发扫描、实时防护、U盘防护查看病毒库更新日期。 周期扫描 1. 登录边缘安全加速控制台，进入【终端管理】或者【零信任】； 2. 在左侧导航栏点击【终端安全】里【终端防病毒】； 3. 周期扫描卡片中点击“扫描策略”进行配置，任务根据右侧开关生效扫描任务； 4. 弹出弹窗，在周期扫描策略中，企业管理员可以选择查杀方式（快速扫描、全盘扫描），客户端在配置的扫描时间段内上线，就会触发病毒查杀任务； 5. 企业管理员可以选择文件类型、文件限制、性能模式进行查杀； 6. 企业管理员可以选择以下处置方式进行处置病毒文件； 7. 扫描对象中支持多个维度（组织、用户组、用户、设备）勾选； 8. 创建的扫描任务可在列表中查看。

开启方法 登录服务网格控制台后，在 网格优化中心 > 数据面ebpf中，选择集群后，点击“开启数据面ebpf加速”即可。 如果开启时存在节点不符合以上条件，页面会进行报错，您仍可以选择开启，开启后再升级内核或者切换cgroup为v2。在此之前，加速功能不生效，但是不会对原业务产生不良影响。 启用验证 开启成功后，会产生DaemonSet，查看DaemonSet状态可以确认ebpf挂载点是否已经成功挂载。即使DaemonSet已经成功拉起，还需要进一步确认容器是否正常启动。 如图中所示，点击pod也可以展开容器信息，可以通过状态或启动日志判断执行结果。 程序成功挂载后，网络转发是否生效可以通过日志确认 查看bpf日志方法：先到达相应的集群node上 sudo cat /sys/kernel/debug/tracing/tracepipe（这个是管道） sudo cat /sys/kernel/debug/tracing/trace（这个是有限文本） 转发是否成功，通过日志查看，出现以下关键字with eBPF successfully表示转发成功了。 python552600 [007] d... 172606.097546: bpftraceprintk: [debug] redirect 4183 bytes with eBPF successfully

本文介绍错误页面自定义功能及其配置说明。 功能介绍 当页面访问出错时，客户端会显示默认错误页面，例如404 Not Found。默认的报错页面通常不美观，会带给用户不好的体验。 为了帮助客户优化用户体验，全站加速加速节点支持当出现指定错误码的时候，能够让用户302跳转到自定义页面的功能。 注意事项 该功能依赖客户端支持访问302跳转后的内容。 配置说明 1. 登录客户控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【高级配置】。 5. 在【错误页面重定向】模块，单击【增加规则】，根据需求填写配置。 6. 单击【保存】，完成配置。 参数名 配置值 说明 错误状态码 需要配置跳转页面的错误状态码。 可填写值：300～599 且非499，多个以英文逗号分隔。 跳转页面 错误状态码要跳转的页面URL。 总长度最小为16位，须以 跳转状态码 301/302 响应301或者302状态码。 优先级 数字 相同错误状态码配置，仅优先级高的配置生效。

名称 描述 是否必须 srcType 迁移源类型： OOS：天翼云对象存储（经典版）I型。 OSS：阿里云。 COS：腾讯云。 OBS：华为云。 S3：AmazonS3。 LOCAL：本地。 是 srcEndpoint 源资源池Endpoint。 迁移源类型为COS、LOCAL：不配置此参数。 迁移源类型为OOS、OSS、OBS、S3：此项必须填。 条件 srcAccessKey 源资源池账户AccessKey。 迁移源类型为LOCAL：不配置此参数。 迁移源类型为OOS、OSS、COS、OBS、S3：此项必须填。 条件 srcSecretKey 源资源池账户SecretKey。 迁移源类型为LOCAL：不配置此参数。 迁移源类型为OOS、OSS、COS、OBS、S3：此项必须填。 条件 srcBucket 源资源池Bucket。 迁移源类型为LOCAL：不配置此参数。 迁移源类型为OOS、OSS、COS、OBS、S3：必须填。 条件 srcRegionName 源资源池RegionName 迁移源类型为COS、S3：必须填。 迁移源类型为OOS、OSS、OBS、LOCAL：不配置此参数。 条件 localFolderPath 本地文件夹路径，或以执行脚本的相对路径。 需要完整路径，以单个正斜线（/）进行分割并且以单个正斜线（/）结尾，仅支持如c:/example/ 或者/data/example/ 的格式。 迁移源类型为LOCAL：必须填。 迁移类型为OOS、OSS、COS、OBS、S3：不配置此参数。 条件 destEndpoint 目标资源池Endpoint，即要迁移到的OOS资源池Endpoint，参见 是 destAccessKey 目标资源池AccessKeyID，可以从OOS控制台中获取，参见 是 destSecretKey 目标资源池SecretAccessKey。 是 destBucket 目标资源池Bucket。 是 srcPrefix 源文件名前缀，默认为空。该前缀不包括存储桶（Bucket）名称，仅为文件（Object）名前缀。 说明 此参数空或者未配置此参数，表示迁移所有的文件。 否 destPrefix 目标前缀，即为迁移文件指定具体存放文件夹。 注意 如果不需要目标前缀，此参数不要写在配置文件中。 取值：字符串形式，以“/”结尾，且不能以“/”开头；不能包含以下字符：'、"、//。 说明 如果不指定，迁移文件直接存放在目标资源池存储桶下。 如果指定前缀，则将迁移文件存放在目标资源池存储桶下以前缀命名的文件夹中；如果前缀命名的文件夹不存在，则在该存储桶下创建以前缀命名的文件夹。 如果目标前缀包含字符“”，会识别为转义字符，不建议使用字符“”。 否 srcMarker 迁移源类型为OOS，表示按字典序，从srcMarker文件开始迁移。默认为空，表示从第一个文件开始迁移。 迁移源类型为OSS、OBS、COS、S3，表示按字典序，从srcMarker文件后的下一个文件开始迁移。默认为空，表示从第一个文件开始迁移。 迁移源类型为LOCAL，此项不起作用，不配置此参数。 否 srcStopObject 迁移的截止文件名，默认为空。 如果配置了srcStopObject，则迁移到配置的文件后停止迁移，即迁移到该文件的前一个文件，此文件及后续文件都不迁移。 如果指定的srcStopObject不存在，则迁移满足迁移条件的所有文件。 注意 迁移源类型为LOCAL，此项不起作用，不配置此参数。 否 isSkipExistFile 是否跳过目标资源池中已有的文件。 true：跳过已有文件，根据Etag和size进行判断数据是否为已有文件。 false：覆盖已有文件。 默认值为false。 否 migrateLogFile 表示是否根据日志文件加载迁移文件。 日志文件仅支持通过本迁移工具生成的四种类型的日志文件：successObjectLogtime.txt、errorObjectLogtime.txt、skipObjectLogtime.txt、 otherObjectLogtime.txt。 true：仅处理日志文件中的项，不扫描源资源池或者local文件夹、不加载备份文件。 false：扫描资源池或local文件夹，加载备份文件。 默认值为false。 否 logFile 表示日志文件路径。 migrateLogFile为true时，此项必须填。 条件 importSince 表示迁移大于此时间的数据，Unix时间戳。即仅迁移此时间点后的文件。 取值：大于等于0的整数，单位是秒。默认值为0，表示迁移所有的数据。 否 objectSize 表示迁移文件（Object）的大小范围。格式是NM，表示迁移N至M大小的文件。 取值：N和M是大于等于0的整数，且N≤M，单位是字节。默认不配置此项，表示迁移所有大小的文件。 否 storageClass 设置迁移后文件的存储类型。 取值： STANDARD：标准存储。 STANDARDIA：低频访问存储。 默认值为STANDARD。 注意 仅对象存储网络、香港节点支持STANDARDIA，其他地域不支持。 否 contentType 迁移之后，文件的标准MIME类型。 注意 如果srcType为OOS，且isAcceleratedMigration为true，contentType配置会失效。 否 isAcceleratedMigration 是否加速迁移文件。 取值： true：加速迁移文件。 false：不加速迁移文件。 默认值为false。 说明 srcType为OOS时，该参数才生效。建议源和目的资源池为同类资源池时使用该参数，如源和目的资源池为5.0的同一地域、源和目的资源池同为香港资源池、或源和目的资源池同为对象存储网络。 使用加速迁移文件时，srcAccessKey和srcSecretKey需要具备srcBucket的ListBucket和GetObject权限；destAccessKey和destSecretKey需要具备destBucket中PutObject的权限、srcBucket的GetObject权限。 否

什么是XSS攻击？ 跨站脚本（XSS）是一种攻击技术，它强制网站回应攻击者提供的可执行代码，这些代码加载到用户的浏览器中，借助插入至网站的恶意代码进行传播，对网站用户进行攻击，达到盗取用户账号信息、钓鱼欺诈、身份盗用等目的。 什么是CSRF攻击？ 跨站请求伪造攻击是一种挟制用户在当前已登录的Web应用程序上执行非本意操作的攻击方法。 CSRF攻击可以包括汇款，股票交易，特权升级，应用程序修改或其他未经授权的访问。 什么是逃避检测攻击？ 逃避检测攻击也叫攻击绕过技术，攻击者试图伪装或隐藏攻击以避免被安全设备进行检测，常见的逃避检测攻击有HTTP参数污染、00截断、URL编码绕过、Unicode编码绕过、ASCII码绕过、字符串拼接绕过、hex编码绕过、大小写混杂字符绕过、多空格绕过、注释串绕过等。 什么是缓冲区溢出？ 缓冲区溢出攻击是针对程序设计缺陷，向程序输入缓冲区写入使之溢出的内容（通常是超过缓冲区能保存的最大数据量的数据），从而破坏程序运行、趁中断之际并获取程序乃至系统的控制权。 Web应用防火墙售后联系方式是？ Web应用防火墙服务开通及使用过程涉及本手册中的步骤，需严格根据手册指导进行操作，若因操作不当或策略过于严格，从而影响防护开通及使用，请及时联系安全防护工程师。24小时在线配合，可联系天翼云400工单电话：4008109889，或联系本地电信客户经理，或在Web应用防火墙微信群中反馈。 注意 关于特殊需求：如有针对带宽、域名等条件有特殊需求请联系客户经理或运维人员沟通。

本文简述回源SNI功能。 功能介绍 如果一个源站IP地址绑定多个域名，且天翼云边缘安全加速平台安全与加速服务使用HTTPS协议回源时，需通过配置回源SNI的方式，在SNI中指定具体的请求域名，此时源站服务器可以返回该域名对应的SSL证书，以达到多个域名共用源站的目的。 回源SNI原理 SNI（Server Name Indication）是为了解决一个服务器使用多个域名和证书的问题，而对SSL/TLS协议所作的一个扩展。它允许服务器在同一个IP地址和TCP端口下支持多个证书，从而允许多个HTTPS网站使用相同的源站IP和端口。开启回源SNI后，边缘节点向源站发起TLS握手时，源站会根据TLS握手中携带的回源SNI信息来确认边缘节点请求的具体域名，然后返回该域名对应的SSL证书给边缘节点。 设置回源SNI后的工作流程如下： 1. 当边缘节点以HTTPS协议回源时，需要在回源SNI中设置访问的域名。 2. 源站收到请求后，返回SNI中设置的域名对应的SSL证书。 3. 边缘节点收到SSL证书后，与源站建立连接。 配置说明 1. 登录边缘安全加速控制台。 2. 单击左侧导航栏【域名管理】。 3. 在【域名管理】页面，找到目标域名，单击【操作】列的【基础配置】。 4. 单击右下方【回源配置】。 5. 在【回源SNI】模块，开启功能。 6. 配置SNI。 7. 单击【保存】，完成配置。 参数名 说明 SNI 回源SNI域名，只能配置精确域名，不支持泛域名。

本文介绍AOneMail服务能力。 什么是AOneMail 边缘安全加速平台提供防钓鱼邮箱客户端，通过本地规则引擎、云端情报库、慧泽大模型等能力，对邮件进行检测和过滤，识别并拦截可能的钓鱼邮件，以防止敏感信息的泄露和恶意软件的传播。 注意事项 AOneMail已集成至AOne2.15.4及以上版本客户端，若已订购零信任服务/终端管理，可按照零信任服务（远程办公）进行快速接入。 服务能力 功能 描述 安装与登录 AOne零信任客户端首次点击云邮箱加载完成后，会自动打开新增账户界面，可进行邮件账户与服务器信息配置来进行邮箱的登录。 邮箱设置 支持邮箱基础参数配置，如邮箱通知、账户设置、邮件读写等，个性化邮箱使用场景。 收发邮件 实现邮件接收与发送功能，可对接不同邮件服务器，实时收取新邮件并支持邮件发送至目标地址。 撰写邮件 提供邮件编辑界面，支持添加主题、收件人、附件，编辑正文内容，完成新邮件的创建与发送操作。 通讯录 用于存储联系人邮箱、姓名、电话等信息，支持分组管理，便于撰写邮件时快速选取收件人。 钓鱼检测服务 通过智能算法识别钓鱼邮件，拦截含危险链接、恶意附件的邮件，保障用户账户安全，防范钓鱼攻击。 AOneMail常见问题 汇总用户使用过程中高频问题（如登录异常、邮件收发失败等），提供对应的解决方案与操作指引，辅助用户自助排障。

本文介绍播放失败时的可能原因及解决方案。 问题描述 使用天翼云视频直播加速时，无法播放直播流。 可能原因及解决方案 当直播播放失败时，可以尝试以下排查步骤： 1. 检查推流端。 确保推流端的网络连接正常，没有断开或丢包的情况。 检查推流端的推流设置，确保推流地址、码率、分辨率等参数正确配置。 使用其他推流工具或设备进行推流，看是否能够正常播放。 2. 检查播放端。 确保播放端的网络连接正常，没有断开或丢包的情况。 确认播放域名已关联正确的推流域名。您可以在直播控制台域名列表中，单击【查看】查看拉流域名对应的推流域名。如果要修改已关联的推流域名，需提交工单。 确认cname是否正确配置并生效。您可以 ping 或 dig 所添加的加速域名，如果解析出的CNAME地址为视频直播控制台上对应的域名CNAME，即表示CNAME配置已经生效。更多CNAME详细信息请参见：配置CNAME。 不同的播放器对于文件格式和编码的支持有所不同，可能会导致播放失败。检查播放器是否支持所使用的视频格式和编码方式，如FLV、HLS、RTMP等。尝试使用不同的播放器进行播放，如使用不同的浏览器、移动设备或第三方播放器进行测试。 3. 检查鉴权规则。 查看推流和拉流域名是否存在防盗链鉴权，是否符合鉴权规则要求。 4. 检查源站。 回源拉流业务，需要确认源站是否有流，是否存在鉴权规则导致回源拉流失败。

本文为您介绍H3C路由器如何在本地站点中加载VPN配置。 使用IPsec VPN建立站点到站点的连接时，在配置完天翼云VPN网关后，您还需在本地站点的网关设备中进行VPN配置。 前提条件 已经在天翼云VPC内创建了IPsec连接。 已经下载了IPsec连接的配置。 IPsec协议信息 配置 示例值 IKE 认证算法 SHA1 IKE 加密算法 AES128 IKE DH分组 Group5 IKE IKE版本 IKEv1 IKE 生命周期 86400 IKE 协商模式 main IKE PSK cth3c IPsec 认证算法 SHA1 IPsec 加密算法 AES128 IPsec PFS DH group5 IPsec 生命周期 3600 网络配置信息 配置项 示例值 VPC 待和本地IDC互通的私网网段。 VPN网关 天翼云VPN网关的公网IP地址。 本地IDC 待和天翼云VPC互通的私网网段。 本地IDC 本地网关设备的公网IP地址。 操作步骤 1. 以命令行方式登录H3C路由器命令行。 2. 配置IKE预共享密钥。 ike keychain ctyun presharedkey address 121...152 255.255.255.255 key simple cth3c 3. 配置IKE提议。 ike proposal 10000 sa duration 86400 authenticationalgorithm sha encryptionalgorithm aescbc128 dh group5 4. 配置IKE安全框架。 ike profile ctyun exchangemode main keychain ctyun localidentity address 49...89 proposal 10000 match remote address 121...152 5. 配置ACL，定义要保护的数据流。 acl advanced 3402 rule 0 permit ip source 192.168.0.0 0.0.0.255 destination 192.168.3.0 0.0.0.255 rule 5 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.0.0 0.0.0.255 6. 配置IPsec安全提议。 ipsec transformset ctyun protocol esp esp encryptionalgorithm aescbc128 esp authenticationalgorithm sha1 pfs dhgroup5 7. 配置IPsec安全策略。 ipsec policy ctyun 10 isakmp sa duration timebased 3600 transformset ctyun security acl 3402 remoteaddress 121...152 ikeprofile ctyun 8. 在GigabitEthernet1/0接口上应用IPsec安全策略ctyun。 interface GigabitEthernet1/0 ipsec apply policy ctyun 9. 配置静态路由。 ip route 192.168.3.0 255.255.255.0 49...1 10. 测试连通性。 您可以利用您的云主机和数据中心的主机进行连通性测试。

本文介绍零信任服务态势大屏。 背景说明 零信任态势大屏功能可协助企业快速查看对应的办公态势，内容包括企业终端安全、风险设备数、软件运行情况、设备资产、内网应用访问情况、内网安全防护、用户分布。 操作步骤 1. 登录边缘安全加速平台控制台，进入【零信任】控制台。 2. 在左侧导航栏，单击【态势大屏】。 功能说明 注意 零信任态势大屏功能需零信任服务套餐版本为企业版，详细版本差异可查看 基本设置 管理员可选择统计周期，刷新间隔，支持切换到边缘安全加速平台其他产品的态势大屏。 终端安全 统计企业终端设备的安全情况，展示合规检测、待处理病毒个数。 风险设备数 软件运行情况

场景四：访问CDN加速域名后获取到的内容为非本站点文件内容 可能的原因： 访问到非CDN节点。检测访问的IP是否为CDN的节点IP。关于如何检测，详情请见：如何验证IP地址是否属于天翼云CDN节点IP。如果访问的节点不是CDN节点IP，请核实是否存在如下几种情况： 本地是否有开启代理软件，因为有些代理软件会强制更改访问域名的解析。若有，则建议关闭该代理软件。 是否绑定HOSTS文件，将加速域名强制解析到某个IP。若有，则建议去掉该host绑定记录。 本地存在DNS劫持。排查方式详情请见场景三中“发生劫持”部分；如确认为劫持，可以在本地开启安全杀毒软件，并且固定本地所使用的DNS IP为223.5.5.5、114.114.114.114、119.29.29.29或者其他安全的DNS。如果劫持情况比较严重，并且无法解决，则需要向网络服务提供商投诉要求解除劫持。

本节介绍了分布式消息服务RabbitMQ产品实例如何购买。 实例介绍 RabbitMQ实例订购支持用户自定义规格和自定义特性，采用物理隔离的方式部署。租户独占RabbitMQ实例，可根据业务需要可定制相应规格的RabbitMQ实例。在新的资源池节点上，还支持选择主机类型和存储规格等丰富用户选项。 操作步骤 1. 登录管理控制台。 2. 进入RabbitMQ管理控制台。 3. 在管理控制台右上角单击“地域名称”，选择区域。此处请选择与您的应用服务相同的区域。 4. 点击“购买实例”跳转到购买页面，根据页面订购说明进行产品开通。 实例规格选择说明 节点可选择3节点、5节点、7节点、9节点，实例规格可选择4C8G、8C16G、16C32G。 存储类型可选择普通IO（SATA）、高IO（SAS）、超高IO（SSD）。 （1）填写实例名称，长度在 4 到 64个字符，必须以字母开头，不区分大小写，可以包含字母、数字、中划线或下划线，不能包含其他特殊字符。 （2）选择引擎类型，默认选择云原生引擎，海量消息堆积能力，支持更多连接和队列数，稳定性高。也可选择rabbitmq引擎，完全支持开源RabbitMQ生态，功能完备。 （3）选择计费模式：包年包月/按需计费，两种模式说明参见计费模式。 （4）购买时长按照计费模式选择变化： 计费模式为包年包月，可选择购买时长16个月、13年。该模式提供自动续期功能，勾选后可以自动续期购买时长：16个月、13年。 计费模式为按需计费，则该选项隐藏无需选择。 （5）部署方式有单可用区和多可用区两个选项，目前仅支持单可用区和3可用区部署,单可用区部署请选中任意一个AZ；多可用区部署请选中3个AZ，系统会自动将Broker节点平均分配至各可用区。 （6）设置节点数，可选择3/5/7/9。RabbitMQ 的节点数是指 RabbitMQ 集群中的节点数量。在 RabbitMQ 集群中，可以有多个节点组成一个集群，每个节点都是一个独立的 RabbitMQ 服务器实例。 （7）下拉选择主机类型，可选择通用型和计算增强型。通用型云主机共享宿主机的CPU资源，主要提供基本水平的vCPU性能、平衡的计算、内存和网络资源，具有较高性价比，支持通用的业务运行。计算增强型云主机独享宿主机的CPU资源，实例间无CPU争抢，并且没有进行资源超配，同时搭载全新网络加速引擎，实现接近物理服务器的强劲稳定性能。 （8）选择实例规格，分布式消息服务RabbitMQ提供通用型和计算增强型各3类规格，各规格详细说明参见弹性云主机规格。 （9）选择存储空间，包括磁盘类型和空间。 磁盘类型提供高IO/超高IO三类。普通IO适用于大容量、读写速率中等、事务性处理较少的应用场景。高IO：适用于主流的高性能、高可靠应用场景。超高IO：适用于超高IOPS、超大带宽需求的读写密集型应用场景。了解更多磁盘类型说明参见云硬盘规格。 磁盘空间以100G起步，可以以100倍数增加磁盘空间。 （10）选择已有虚拟私有云，若无虚拟私有云，点击创建跳转到虚拟私有云页面新增，了解更多内容参见虚拟私有云。 （11）选择已有子网，若无子网，点击创建跳转到子网页面新增。 （12）选择已有安全组，若无安全组，点击创建跳转到安全组页面新增。