模型 推荐规格(云主机) 支持资源池 DeepSeekR1:1.5b 内存：4GB起 所有ECI已上线资源池 DeepSeekR1:7b 内存：16GB起 所有ECI已上线资源池 DeepSeekR1:8b 内存：16GB起 所有ECI已上线资源池 DeepSeekR1:14b 内存：32GB起 所有ECI已上线资源池 DeepSeekR1:32b 内存：64GB起 起临时存储空间：100GB起 所有ECI已上线资源池 DeepSeekR1:70b 内存：128GB起 临时存储空间：150GB起 所有ECI已上线资源池

本节主要介绍采集开关 为了减少内存、数据库、磁盘空间占用，您可以按需进行采集设置。 日志采集开关 前提条件：弹性云主机上已安装ICAgent。 步骤 1 登录AOM控制台，选择“配置管理 > 日志配置”，选择“采集开关”页签。 步骤 2 开启或者关闭日志采集开关。 日志采集开关 说明 采集开关默认打开，当您不需要采集日志时，可通过关闭采集开关来停止日志采集，以减少资源占用。

添加默认路由指向公网NAT网关 1. 登录管理控制台。 2. 在系统首页，单击“网络 > 虚拟私有云”。 3. 单击左侧的“路由表”。 4. 在路由表页面，单击右上角的“创建路由表”。 所属VPC：选择公网NAT网关所在的VPC。 5. 自定义路由表创建成功后，单击自定义路由表名称。进入自定义路由表基本信息页。 6. 单击“添加路由”，按照如下配置参数。 目的地址：0.0.0.0/0 下一跳类型：NAT网关 下一跳：选择已创建的NAT网关 7. 单击“确定”。

添加默认路由指向公网NAT网关 1. 登录管理控制台。 2. 在系统首页，单击“网络 > 虚拟私有云”。 3. 单击左侧的“路由表”。 4. 在路由表页面，单击右上角的“创建路由表”。所属VPC：选择公网NAT网关所在的VPC。 5. 自定义路由表创建成功后，单击自定义路由表名称。进入自定义路由表基本信息页。 6. 单击“添加路由”，按照如下配置参数。 目的地址：0.0.0.0/0 下一跳类型：NAT网关 下一跳：选择已创建的NAT网关 7. 单击“确定”。

需求确认 客户联系专属客户经理或者拨打天翼云客服电话4008109889或者点击新建业务需求单下单，客户经理与客户确定项目需求，最终确定项目配置方案和交付时间，并完成下单。 环境勘测 一体机安装对客环境要求包括：机房环境(空间、电力、散热等)、网络环境（网段分配）、公网ip、运维通道、安防等。具体需求确定后，进行现场工勘并提供工勘报告。 交付验收 天翼云公司完成项目设计、软硬件集成、测试验收系列工作后，输出网络集成规范、系统集成方案、测试用例等，并现场上电、通网、现场系统测试、系统交付检查。最后由客户进行智算一体机全方位验收，验收通过后即进入计费周期，客户可以开始进行大模型训练或者推理。

本节为您介绍云迁移服务CMS中数据迁移工具查看任务记录。 数据迁移工具可以展示用户所有历史任务信息；当用户迁移任务完成后，会生成相应的历史任务，包括历史任务的任务名称、源节点、目标、创建日期、任务状态、进度等。 历史任务 左侧导航栏单击“任务管理”后，可以查看历史任务列表。 任务搜索 进入“任务管理”界面。 点击“输入任务名称/集群名称”文本框，并输入任务名称/集群名称，点击搜索。 可以查看对应名称的任务。

本节为您介绍云迁移服务迁移计划任务创建。 1. 在左侧导航栏中选择资源规划>迁移计划，能够在页面上创建迁移计划，如图1所示 。 图1 迁移计划列表页面。 2. 填写迁移计划基本信息进入下一步：资源选取，如图2所示。 图2 迁移计划基本信息编辑页面。 3. 选择需要的资源，对其进行确认。 4. 完成后可在列表中进行查看，如图所示。

本节为您介绍云迁移服务CMS中数据迁移工具如何查看历史任务及迁移报告。 历史任务检索 可以展示用户所有历史任务信息；当用户迁移任务完成后，会生成相应的历史任务，包括历史任务的任务名称、源节点、目标节点、创建日期、任务状态等。 左侧导航栏单击“任务管理”后，可单击"详情"跳转任务最早，查看具体任务信息。 完成报告生成 当迁移任务完成时或者迁移任务取消时，平台能自动生成报告。

本文为您介绍创建订阅渠道的前提条件和操作步骤。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 说明 数据订阅功能当前为受限开放，如有需求可以联系客户经理为您开放此功能。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控服务”，进入监控概览页面。 4. 单击左侧“数据订阅”菜单，进入数据订阅任务列表。 5. 单击“创建订阅任务”功能，进入数据订阅任务创建二级页面。 6. 创建订阅任务参数配置如下： 模块 参数 参数说明 配置示例 备注 配置订阅渠道 网络通道 公网/vpc内网 公网 配置订阅渠道 订阅类型 公网：分布式消息服务/remotewriteAPI/API vpc内网:分布式消息服务 分布式消息服务 配置订阅渠道 类型 对应订阅类型下选择支持的类型 分布式消息服务Kafka 配置订阅渠道 地址 填写分布式消息服务/remotewriteAPI/API目标地址 配置订阅渠道 实例选择 下拉选择所创建的kafka实例（前提：“网络通道”选择“vpc内网”） 配置订阅渠道 用户名 目标地址用户名信息 test 配置订阅渠道 密码 目标地址用户名对应密码信息 配置订阅渠道 TOPIC 目标地址主题（TOPIC） 配置订阅渠道 kafka版本 选择目标客户端kafka版本，2.0.0/2.1.0 2.1.0 2.0.0及以下版本，请选择2.0.0 2.0.0以上版本，请选择2.1.0 基本信息 名称 填写订阅渠道名称 test 基本信息 描述 填写订阅渠道描述信息 注意 1、vpc内网数据订阅渠道同样为受限开放功能，如有需要请联系客户经理。

主体信息 主办单位名称、企业类型、证件类型、证件号码、证件住所等按照备案主体证件上的信息进行填写。企业按照营业执照上信息、个人按照身份证上信息来填写。 主办单位通信地址：填写实际的通信地址，需填写完整省市县区。单位填写单位办公地址，个人填写个人住址（精确到门牌号）。 主体负责人信息：个人填写个人信息；企业须为单位法人。如有特殊情况，可咨询天翼云客服4008109889转3（备案）。 真实性核验单和委托书填写 真实性核验单，可参考在天翼云官网下载的真实性核验单第三页填写样板，只需填写主办单位名称、域名、在表格最下方网站负责人签字处，盖公章即可，其他区域由天翼云工作人员进行填写。 委托书，需法人手写签名或盖法人章并加盖公章。 驳回告知证件提供复印件需加盖公司公章 根据管局规定，备案电子版材料需提供彩色原件扫描件且字迹清晰可辨。 网站名称命名要求 非国家级单位网站名称不能包含“中国”、“中华”、“国家”、“人民”、“地名”等字样。 网站名称不能是纯数字、纯英文、不能包含特殊符号和敏感词汇（反腐、赌博等），企业网站名称三个字以上，建议使用单位名称作为网站名称。 个人网站名称三个字以上，不可用人名，纯数字，纯字母，成语，不可涉及企业行业信息。个人网站名称建议做分享类网站，网站内容选其他，需一句话描述将来开办的网站内容。 负责人信息填写 主体负责人与网站管理员不为同一人时，请提供不同的手机、应急电话和邮箱。 办公电话请添加区号。 提供真实有效的手机号和邮箱，以便备案人员核实相关信息。

本节介绍AI应用中心常见问题。 云智助手如何收费？ 暂不收费。 如何获取云智助手？ 云智助手已面向全部用户推送，如您未能在桌面找到，则可以前往云电脑应用市场下载。 如何切换不同大模型对话？ 1.云智助手对话界面顶部模型切换下拉框，切换后，将新建对话。 2.云智助手右上角更多设置，在设置中可选择切换不同大模型对话，切换后，将新建对话。 是否支持取消云智助手的默认启动快捷键：Alt+E？ 目前云智助手的默认启动快捷键是系统固定的，可在『偏好设置其他设置』中关闭。 注意 如找不到相应开关，请尝试升级客户端解决。 云智助手支持删除历史对话吗？ 暂不支持删除历史对话，后续将会优化以便提供更好的体验。 AI会议助手支持删除会议纪要文件吗？ 暂不支持手动删除会议纪要文件，但会议纪要文件默认保存14天，14天后系统将会自动清除对应文件数据。

本节介绍云智助手常见问题。 云智助手如何收费？ 暂不收费。 如何获取云智助手？ 云智助手已面向全部用户推送，如您未能在桌面找到，则可以前往AI云电脑应用市场下载。 如何切换不同大模型对话？ 1.云智助手对话界面顶部模型切换下拉框，切换后，将新建对话。 2.云智助手右上角个人头像设置，在设置中可选择切换不同大模型对话，切换后，将新建对话。 是否支持取消云智助手的默认启动快捷键：Alt+E？ 目前云智助手的默认启动快捷键是系统固定的，可在『偏好设置其他设置』中关闭。 注意 如没有找到相关入口，可尝试升级客户端。 云智助手支持删除历史对话吗？ 暂不支持删除历史对话，后续将会优化以便提供更好的体验。 AI会议助手支持删除会议纪要文件吗？ 暂不支持手动删除会议纪要文件，但会议纪要文件默认保存14天，14天后系统将会自动清除对应文件数据。

脚本开发 提供在线脚本编辑器，支持多人协作进行SQL、Shell脚本在线代码开发和调测。 支持使用变量和函数。 作业开发 提供图形化设计器，支持拖拽式工作流开发，快速构建数据处理业务流水线。 预设数据集成、SQL、Shell等多种任务类型，通过任务间依赖完成复杂数据分析处理。 支持导入和导出作业。 资源管理 支持统一管理在脚本开发和作业开发使用到的file、jar、archive类型的资源。 作业调度 支持单次调度、周期调度和事件驱动调度，周期调度支持分钟、小时、天、周、月多种调度周期。 作业调度支持多种云服务的多种类型的任务混合编排，高性能的调度引擎已经经过几百个应用的检验。 运维监控 支持对作业进行运行、暂停、恢复、终止等多种操作。 支持查看作业和其内各任务节点的运行详情。 支持配置多种方式报警，作业和任务发生错误时可及时通知相关人，保证业务正常运行。

型号 类型 C3430（基础版云纳管HG） C3410（基础版塔式工作站HG） C3110（基础版塔式工作站x86） 单台服务器硬件配置 CPU Hygon 7360(24C，2.2GHz) 2Hygon 3350(8C，3.0GHz) Intel Core i913900K(24C，2.2GHz) 单台服务器硬件配置 内存 64GB(232GB) 128GB(432GB) 128GB(432GB) 单台服务器硬件配置 系统盘 1480GB SATA SSD 2480GB SATA SSD 2480GB SATA SSD 单台服务器硬件配置 缓存盘 单台服务器硬件配置 数据盘 24TB SATA HDD 24TB SATA HDD

云搜索服务支持您在控制台修改OpenSearch.yml文件中的部分参数。 云搜索服务支持您在控制台修改OpenSearch.yml文件中的部分参数。 操作步骤 1. 登录云搜索服务管理控制台，在左侧导航栏，选择对应的实例类型，进入管理列表页面。 2. 点击实例名称进入对应实例详情，并选择“配置管理”。 3. 点击“修改配置”进入编辑状态，对所需的参数进行修改，修改时请关注填写规则和样例。 4. 修改完成后，点击“提交”，并在弹出的窗口中核对修改信息，需要知晓并勾选重启过程中可能会导致服务短暂不可用，确认后等待对应参数修改记录变为成功，即为已生效。若为失败，则未成功修改，参数仍为改前值。 5. 可在下方参数修改记录中查看近10次的修改记录和状态。 6. 如果有需要修改的参数不在列表内，请提报工单申请，由工程师为您修改。 指标分类 参数名称 填写说明 跨域访问 http.cors.enabled true表示启用跨域资源访问，false表示不启用 跨域访问 http.cors.alloworigin 支持 host/IP 和 port 组合、域名或号，例如node1:9200,127.0.0.1:9200，限制1100个，逗号隔开；号表示全部放开 跨域访问 http.cors.maxage 浏览器默认缓存时间。如果超过设置的时间后，缓存将自动清除。数值，取值范围[01728000]，单位秒 跨域访问 http.cors.allowcredentials 响应中是否允许返回allowcredentials取值true/false 跨域访问 http.cors.allowheaders 跨域访问允许的headers，XRequestedWith,ContentType,ContentLength中的任意一个或多个 跨域访问 http.cors.allowmethods 跨域访问允许的方法OPTIONS,HEAD,GET,POST,PUT,DELETE中的任意一个或多个 审计日志 plugins.security.audit.type 审计日志，默认关闭，开启后，系统会记录OpenSearch实例对应的操作产生的日志 Reindex索引迁移 reindex.remote.whitelist 添加远程集群的访问地址白名单，支持host/IP 和 port 组合，例如 node1:9200，127.0.0.1:9200，port必填。限制1100个，逗号隔开 索引自动创建、通配删除 action.destructiverequiresname 删除索引是否需要声明完整索引名 true：需要声明完整索引名 false：不需要声明完整索引名 自定义查询缓存 action.autocreateindex 是否允许自动根据文档创建索引 线程池 threadpool.forcemerge.size forcemerge场景下队列的大小 流量控制 flowcontrol.search.qps 每秒查询请求数，超过设定值，响应查询API则熔断 读写集群的线程池设置 threadpool.write.queuesize 写阈值线程池大小，整数类型，取值范围1100000 读写集群的线程池设置 threadpool.search.queuesize 读阈值线程池大小，整数类型，取值范围1100000 fielddata的堆内cache indices.fielddata.cache.size fielddata的cache size，百分比，取值范围1%39% 查询相关限制 indices.query.bool.maxclausecount 查询的bool语句允许的子语句大小，整数类型，取值范围11024

在设置Web安全防护功能之前，您需要先进行安全基础配置。 前提条件 已开通Web应用防火墙（边缘云版）。 已新增域名并成功接入WAF，具体操作请见WAF接入 操作步骤 1. 登录Web应用防火墙（边缘云版）控制台 2. 在左侧导航栏中选择【域名管理】—【域名列表】，选择您要防护的域名，单击操作列【安全防护】 3. 进入【安全基础配置】页面 配置说明 配置项 说明 防护模式 防护模式：域名防护开关，为防护功能的全局按钮，用于控制功能是否生效 开启：开启web防护 关闭：关闭web防护，策略不生效 处理动作 处理动作：全局处理动作 拦截：当处理动作为拦截时，各防护功能的处理动作依照其配置生效； 告警：当处理动作为告警时，各防护功能的处理动作如果配置为拦截，则也生效为告警。 漏洞防护配置 设置漏洞防护配置，根据下拉提示选择适配网页业务的模板 全量防护规则集：适用于重保等级高，且允许一定程度误报的业务场景。该漏洞规则集防护包含全量规则，绝大部分规则处理动作为拦截（网站防护模式为拦截时则直接进行拦截），容易出现误报，请谨慎选择； 敏感防护规则集：适用于常规网站，且允许少量误报的业务场景。该漏洞规则集防护等级较为严格，容易误报的规则处理动作为告警，其他规则处理动作为拦截（网站防护模式为拦截时则直接进行拦截），存在一定误报可能性； 宽松防护规则集：适用于常规网站，允许存在一定漏报的业务场景。该漏洞规则集防护等级较为宽松，关闭容易产生误报的规则，则可能存在一定漏报，接入后请及时关注； PHP防护规则集：适用于后台开发语言为PHP的网站业务。该漏洞规则集主要针对后台语言为PHP进行制定，关闭其他容易产生误报的规则，接入后请及时关注； JAVA防护规则集：适用于后台开发语言为JAVA的网站业务。该漏洞规则集主要针对后台语言为JAVA进行制定，关闭其他容易产生误报的规则，接入后请及时关注； 非PHP和JAVA防护集：适用于后台开发语言明确非PHP和JAVA网站业务。该漏洞规则集主要针对后台语言为非PHP和JAVA进行制定，关闭其他容易产生误报的规则，接入后请及时关注； 下载类业务规则集：适用于下载类业务，即包含zip、rar、tar、gz等下载类后缀的业务网站。该漏洞规则集主要针对下载类业务进行设定规则，关闭其他容易产生误报的规则，接入后请及时关注； 注意：域名刚接入时建议使用【敏感防护规则集】，能够适用于大部分常规网站 静态文件后缀 在【静态文件后缀】输入框中输入无需检测的文件后缀，多个用英文;分隔，输入并提交保存后，边缘云WAF将不对这些文件类型进行检测 默认值：css;js;pjpeg;flv;mp4;mp3;wmv;wma;avi;apk;rpm;deb;bin;ogg;mpg;mpeg;f4v;rm;3gp;img;cur;jpe;ico;msi;cab;pdf;aac;swc;doc;docx;xls;xlsx;ppt;pptx;rmvb;ipa;sis;xap;m3u8;ts;gif;jpg;jpeg;swf;png;bmp

问题现象 当用户通过VNC方式登录Linux系统云主机时，界面可能出现乱码（如下图所示），您可以通过执行以下操作处理该故障。 可能原因 查看的文件过大或物理按键被意外持续按住。 处理方法 方法一： 检查是否有物理按键下按情况，包括Ctrl、Alt、Shift按键，用户可尝试按下该按键进行调整。 方法二： 初始化终端界面，刷新当前终端屏幕，在命令行，执行以下命令。 plaintext reset 若以上方法均无法解决问题，请联系工单进行处理。

此小节介绍云堡垒机登录日志。 登录日志里admin可查看所有用户在登录堡垒机的详细记录，其他有授权用户可查看到授权的账号数据角色的操作记录。 操作步骤 1.管理员登录并切换至审计角色，在左侧导航栏选择“系统日志 > 登录日志审计”，审计范围包括登录成功与登录失败（密码错误、账号不存在等）的情况。 2.单击详情，可查看用户登录系统后访问资产的信息。 3.单击某条资产访问的详情，从更多维度展示该次访问会话的信息。

本节为您介绍云迁移服务CMS服务器迁移任务中全量迁移部分公共操作。 CMS可在迁移过程中您可在“操作“选项卡，对不同任务进度进行操作。包括手动增量、停止增量、开始核查、取消核查、开始修复、取消修复、引导修复等操作。 您可在“任务管理”选项卡，进行带宽限制、CPU限制、暂停任务、继续任务、取消任务等操作。 全量迁移完成后，系统弹窗提示可进行下一步操作。

后续操作 配置跨集群互信后，因在MRS Manager修改了服务配置参数并重启了服务，请重新准备好客户端配置文件并更新客户端。 场景1：A集群和B集群（对端集群、互信集群）是同类型集群，例如均是分析集群或者流式集群，请参见更新客户端（3.x之前版本）分别更新客户端配置文件。 更新A集群的客户端配置文件。 更新B集群的客户端配置文件。 场景2：A集群和B集群（对端集群、互信集群）是不同类型集群，请执行如下步骤分别更新对端集群的配置文件到本端集群和本端集群自身的配置文件。 将A集群的客户端配置文件更新到B集群上。 将B集群的客户端配置文件更新到A集群上。 更新A集群的客户端配置文件。 更新B集群的客户端配置文件。 登录MRS Manager(A集群)。 1. 单击“服务管理”，然后单击“下载客户端”。 2. “客户端类型”选择“仅配置文件”。 3. “下载路径”选择“远端主机”。 4. 将“主机IP”设置为B集群的主Master节点IP地址，设置“主机端口”为“22”，并将“存放路径”设置为“/tmp”。 如果使用SSH登录B集群的默认端口“22”被修改，请将“主机端口”设置为新端口。 “存放路径”最多可以包含256个字符。 5. “登录用户”设置为“root”。 如果使用其他用户，请确保该用户对保存目录拥有读取、写入和执行权限。 6. 在“登录方式”选择“密码”或“SSH私钥”。 密码：输入创建集群时设置的root用户密码。 SSH私钥：选择并上传创建集群时使用的密钥文件。 7. 单击“确定”开始生成客户端文件。 若界面显示以下提示信息表示客户端包已经成功保存。单击“关闭”。 下载客户端文件到远端主机成功。 若界面显示以下提示信息，请检查用户名密码及远端主机的安全组配置，确保用户名密码正确，及远端主机的安全组已增加SSH(22)端口的入方向规则。然后从步骤2执行重新开始下载客户端。 连接到服务器失败，请检查网络连接或参数设置。 8. 使用VNC方式，登录弹性云主机（B集群）。参见 弹性云主机用户指南的“实例 > 登录Windows弹性云主机 > 远程登录（VNC方式）”。 所有镜像均支持Cloudinit特性。Cloudinit预配置的用户名“root”，密码为创建集群时设置的密码。 9. 执行以下命令切换到客户端目录，例如“/opt/Bigdata/client”： cd /opt/Bigdata/client 10. 执行以下命令，将A集群的客户端配置更新到B集群上： sh refreshConfig.sh 客户端安装目录 客户端配置文件压缩包完整路径 例如，执行命令： sh refreshConfig.sh /opt/Bigdata/client /tmp/MRSServicesClient.tar 界面显示以下信息表示配置刷新更新成功： ReFresh components client config is complete. Succeed to refresh components client config. 说明 步骤1~步骤11的操作也可以参考 11. 参见步骤1~步骤11，将B集群的客户端配置文件更新到A集群上。 12. 参见更新客户端（3.x之前版本），分别更新本端集群自身的客户端配置文件： 更新A集群的客户端配置文件。 更新B集群的客户端配置文件。

告警事件历史 1. 在Ecs应用详情左边导航栏中选择“告警事件历史“ 2. 在列表页查看告警事件列表信息 具体使用说明可参考应用性能监控>用户指南>告警管理>查看告警事件历史 告警发送历史 1. 在Ecs应用详情左边导航栏中选择“告警发送历史“ 2. 在列表页查看告警发送列表信息 具体使用说明可参考应用性能监控>用户指南>告警管理>查看告警发送历史 通知组 告警支持通过短信、邮箱、翼连等方式将告警信息通知给对应接收人，我们可以在通知组中设置接收人信息。 1. 在Ecs应用详情左边导航栏中选择“通知组“，进入”通知对象”，设置通知基本信息 具体使用说明可参考应用性能监控>用户指南>告警管理>通知对象 通知策略 创建告警通知策略，当告警触发时，只要不符合静默策略，就会依照通知策略在对应渠道发送告警信息给对应的通知对象。 1. 在Ecs应用详情左边导航栏中选择“通知策略“ 2. 查看左侧菜单栏“通知策略列表”，点击具体策略，右侧面板展示策略详情 具体使用说明可参考应用性能监控>用户指南>告警管理>通知策略

本节介绍如何配置全局精准访问控制规则。 防护对象接入Web应用防火墙后，您可以选择开启全局精准访问控制功能，并配置精准访问控制规则。 全局精准访问控制支持对全局域名或单个域名生效。 全局精准访问控制允许自定义访问控制规则，通过对请求路径、请求URI、Cookie、请求参数、Header、referer、UserAgent等多个特征进行条件组合，对访问请求进行特征匹配实现管控，有针对性地阻断各类攻击行为。 前提条件 已购买WAF云SaaS型实例，且实例版本为标准版及以上版本。 网站已通过“域名接入”方式接入WAF进行防护。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 全局防护配置”，进入全局防护配置页面。 5. 定位到“精准访问控制”模块，可以选择开启/关闭防护。 6. 点击防护规则右侧的“前去配置”，进入全局精准访问控制页面。 7. 单击“新建防护规则”，配置全局精准访问控制规则。 参数说明如下： 配置项 说明 规则名称 设置规则的名称。 规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 企业项目 选择需要配置全局精准访问控制规则对象所在的企业项目。 接入对象 设置精准访问控制规则的作用对象，支持选择“全部防护对象”或选择“特定防护对象”。 说明 全局精准访问控制不支持独享版和监听器防护对象。 匹配条件 设置访问请求需要匹配的条件（即特征）。单击“新增条件”可以设置最多30个条件。存在多个条件时，多个条件必须同时满足才算命中。 关于匹配条件的配置描述，请参见匹配条件字段说明。 处置动作 定义触发规则后执行的动作，可选值： 观察 拦截 放行 验证码 JS验证 重定向 过期时间 规则配置后，规则状态开启即生效。可通过设置过期时间，为该规则定义生效时间段。过期时间可选： 永久生效 限定日期：自定义设置失效日期 优先级 代表该规则在精准访问控制模块中执行的优先级。 可输入1～100的整数，数字越大，代表这条规则的优先级越高。相同的优先级下，创建/更新时间越晚，优先级越高。 8. 单击“保存”，规则创建成功，成功后规则默认启用。您可以在规则列表中查看该规则。

本文为您介绍Web基础防护模块的规则白名单功能及配置方式。 网站接入云WAF后，您可以通过设置全局白名单规则，让满足指定特征的请求不经过Web基础防护引擎的检测，一般用于放行因触发Web基础防护相关规则被误拦截的特殊业务请求。 前提条件 已开通了Web应用防火墙，且实例版本为标准版及以上版本。 已完成网站接入。具体操作，请参见添加域名。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 在“安全防护”页签定位到“防护白名单”模块，点击防护规则右侧的“前去配置”。 7. 进入“白名单”页面，可以查看当前已创建的白名单规则列表。 8. 单击“新建白名单”，在弹出的对话框中，配置白名单规则。 参数说明如下： 配置项 说明 规则名称 设置规则的名称。 规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 规则描述 可选项。设置规则的描述信息。 匹配条件 设置白名单请求需要匹配的条件（即特征）。单击“新增条件”，可以设置最多30个条件。存在多个条件时，多个条件必须同时满足才算命中。 关于匹配条件的配置描述，请参见匹配条件字段说明。 过期时间 规则配置后，规则状态开启即生效。可通过设置过期时间，为该规则定义生效时间段。 过期时间可选： 永久生效 限定日期：自定义设置失效日期 生效范围 设置白名单生效范围，表示触发匹配条件的请求不受所选规则的检测，可选项： 全部规则：规则防护引擎包含的全部规则。选择该项，表示触发匹配条件的请求不受任何防护模块的检测，将被直接放行到源站服务器。 特定模块：只忽略检测指定的防护模块，支持BOT防护和Web基础防护。在模块右侧的下拉框，选择不检测的规则类型。 特定规则ID：只忽略检测指定的规则，在模块右侧的下拉框，选择不检测的规则ID。 9. 单击“确定”，规则创建成功，成功后规则默认启用。您可以在规则列表中查看该规则，并根据需要禁用、编辑或删除规则。

本文为您介绍如何将您的网站通过域名接入WAF实例进行防护。 开通云WAF SaaS版实例后，需要将您需要防护的网站域名接入WAF，使网站的访问流量全部流转到WAF进行检测并转发，实现恶意流量的拦截。 域名接入WAF后，WAF作为一个反向代理存在于客户端和服务器之间，服务器的真实IP被隐藏起来，Web访问者只能看到WAF的IP地址。 WAF SaaS版提供CNAME接入方式，可以防护通过域名访问的Web应用/网站，包括Web业务服务器部署在天翼云上、非天翼云或线下的域名。 CNAME接入流程 在WAF控制台添加需要防护的网站域名后，通过修改域名的DNS解析设置，将网站流量解析到WAF，使访问网站的流量经过WAF并受到WAF的防护。WAF将过滤和处理后的请求转发回该域名的源站服务器。接入流程如下： 1. 添加域名 ：配置域名、协议、源站等相关信息，详情请参见添加域名。 2. 放行WAF回源IP段 ：WAF使用特定的回源IP段将经过防护引擎检测后的正常流量转发回网站域名的源站服务器。网站接入WAF进行防护时，您需要设置源站服务器的安全软件或访问控制策略，放行WAF回源IP段的入方向流量，详情请参见放行WAF回源IP段。 3. 本地验证 ：添加域名后，在本地电脑上搭建简易的模拟环境，验证网站流量转发设置已经生效，避免转发设置未生效时修改域名的DNS解析设置，导致业务访问异常，详情请参见本地验证。 4. 修改域名DNS ：若域名在接入WAF前未使用代理，则需要到该域名的DNS服务商处，修改域名的DNS解析配置，将网站的流量解析到WAF；若域名在接入WAF前使用了代理（DDoS高防、CDN等），则需要将使用的代理类服务（DDoS高防、CDN等）的回源地址修改为的目标域名的“CNAME”值，详情请参见修改域名DNS。 说明 完成接入流程后，网站访问流量将经过WAF转发检测。WAF包含多种防护检测模块，帮助网站应对不同类型的安全威胁，其中Web基础防护模块默认开启，用于防御常见的Web应用攻击（例如SQL注入、XSS跨站、Webshell上传等），其他防护模块需要您手动开启并配置具体防护规则。

本章节主要介绍通过弹性公网IP访问。 为了方便用户访问开源组件的Web站点，翼MapReduce集群支持通过为集群绑定弹性公网IP的方式，访问集群上托管的开源组件。该方式更加简便易操作，推荐使用该方式访问开源组件的Web站点。 绑定弹性公网IP 1. 在集群列表页面，单击“集群名称”列下需要绑定IP的集群名称，进入该集群信息页面。 2. 确定需要开通公网访问组件所在的节点。可以通过单击“访问链接与端口”，在“集群服务名称”中找到需要开通公网访问的组件，其“原生UI地址”中包含所在节点内网IP地址。 3. 单击“节点管理”，点击“节点组名称”列的下拉按钮，展开对应的节点信息，确定需要开通公网访问的节点，单击“操作”列的“更多”。 4. 单击“绑定弹性IP”，在“绑定弹性IP”的弹框中，如果您账号下没有可用的弹性公网IP，需要点击“+创建弹性公网IP”按钮跳转至新页面进行创建；如果您账号下有可用的弹性公网IP，可以通过下拉“弹性IP”的选择框选择IP后，点击“确认”进行绑定。 5. 绑定弹性IP后，根据需要对集群安全组规则进行相应的添加或修改，变更端口的访问权限。之后可以通过“公网IP：端口”的方式访问该开源组件的Web站点。

前提条件 1. 已开通云容器引擎，至少有一个云容器引擎集群实例。产品入口：云容器引擎。 2. 开通天翼云服务网格实例。 操作步骤 gRPC是远程过程调用框架（RPC），有多语言的实现，底层采用HTTP2作为传输协议；由于HTTP2采用长连接机制，在负载均衡的场景下可能导致负载的不平衡，本文介绍负载不均衡的场景以及如何通过服务网格实现负载均衡。 部署gRPC server和client应用。 apiVersion: apps/v1 kind: Deployment metadata: name: grpcserverv1 labels: app: grpcserver version: v1 spec: replicas: 1 selector: matchLabels: app: grpcserver version: v1 template: metadata: labels: app: grpcserver version: v1 spec: containers: args: address0.0.0.0:8080 image: registryvpccrshuadong1.cnspinternal.ctyun.cn/library/grpcserver imagePullPolicy: Always name: grpcserver ports: containerPort: 8080 apiVersion: apps/v1 kind: Deployment metadata: name: grpcserverv2 labels: app: grpcserver version: v2 spec: replicas: 1 selector: matchLabels: app: grpcserver version: v2 template: metadata: labels: app: grpcserver version: v2 spec: containers: args: address0.0.0.0:8080 image: registryvpccrshuadong1.cnspinternal.ctyun.cn/library/grpcserver imagePullPolicy: Always name: grpcserver ports: containerPort: 8080 apiVersion: v1 kind: Service metadata: name: grpcserver labels: app: grpcserver spec: ports: name: grpcbackend port: 8080 protocol: TCP selector: app: grpcserver type: ClusterIP apiVersion: apps/v1 kind: Deployment metadata: name: grpcclient labels: app: grpcclient spec: replicas: 1 selector: matchLabels: app: grpcclient template: metadata: labels: app: grpcclient "sidecar.istio.io/inject": "true" spec: containers: image: registryvpccrshuadong1.cnspinternal.ctyun.cn/library/grpcclient imagePullPolicy: Always command: ["/bin/sleep", "3650d"] name: grpcclient 部署之后的pod列表（一个client，两个版本的server）： 通过client访问server，可以看到总是访问服务端的同一个实例。 kubectl exec it grpcclientb7499b9c45d2s n grpc /bin/greeterclient insecuretrue addressgrpcserver:8080 repeat10 为grpc client注入sidecar（打上标签"sidecar.istio.io/inject": "true"），重新部署grpcclient之后可以看到pod列表如下： 再次通过grpcclient访问grpcserver可以看到请求交替访问两个版本的grpcserver： 部署流量治理策略使70%的流量访问v2版本的grpcserver,30%的流量访问v1版本的grpcserver。 apiVersion: networking.istio.io/v1alpha3 kind: DestinationRule metadata: name: drgrpcserver spec: host: grpcserver trafficPolicy: loadBalancer: simple: ROUNDROBIN subsets: name: v1 labels: version: "v1" name: v2 labels: version: "v2" apiVersion: networking.istio.io/v1alpha3 kind: VirtualService metadata: name: vsgrpcserver spec: hosts: "grpcserver" http: match: port: 8080 route: destination: host: grpcserver subset: v1 weight: 30 destination: host: grpcserver subset: v2 weight: 70 再次访问可以看到请求在grpcserver的两个版本之间不再是交替访问，而是大概按照7:3的比例访问：

本文主要介绍压测报告管理类问题 性能测试分析报告中的TPS和其他工具测试的系统处理能力是否相同？ 性能测试中TPS的统计规则为每个统计周期（10s内），平均每秒获取到响应的请求报文数量。比如10s内共有1000个请求获取到了响应，那么TPS即为100TPS。有些测试工具统计的是每秒发出的请求数量，这样无法精确地体现系统的能力，因此云性能测试服务中的TPS为系统实际处理并返回的请求数量。 启动压测任务后在实时报告中没有看到数据的原因？ 该问题可能是由于压测调试机和执行机之前通信的问题导致的。压测调试机通过62000端口让执行机进行数据上报，因此若您使用自定义的安全组规则，请保证调试机的62000端口在安全组被开启。 安全组规则可以到弹性云主机中进行设定。 性能测试报告界面的RPS和TPS有什么区别？ RPS是Requests Per Second的简称，用例的RPS用例总请求数/用例的运行时长；TPS是Transactions Per Second的简称，用例的TPS用例的事务数/用例的运行时长，其中事务定义为：性能测试压测过程中，会循环执行用例中的所有测试步骤，每完成一次循环，算做一次事务（transaction）。 任务日志中“无压测数据的AW将被判定为失败”是什么意思？ 性能测试测试报告中，所有的用例和AW都要有数据，没有数据的AW会导致对应的用例结果判定为Failed。 性能测试报告，为什么日志中的请求日志出现timeout？ 请求读写超时，需要检查服务端。

本文主要介绍操作类问题。 云容灾网关drm进程启动失败，如何处理 ？ 问题描述 ：安装部署完容灾网关或者代理客户端后，drm进程启动失败。 可能由以下原因导致： 1. service账号对“/dev/null”目录没有写权限 2. 本机无法解析hostname域名 处理方法 1 ： 赋予service账号对“/dev/null”目录的读写权限。 步骤 1登录容灾网关或者代理客户端所在服务器。 步骤 2以“root”用户，执行以下命令，修改“/dev/null”目录权限。 chmod 666 /dev/null 步骤 3执行以下命令，检查“/dev/null”目录权限。 ll /dev/null 回显如下类似信息，表示权限设置成功： crwrwrw 1 root root 1, 3 Apr 9 09:21 /dev/null 处理方法 2 ： 增加“hostname”域名解析。 步骤 1登录容灾网关或者代理客户端所在服务器。 步骤 2以“root”用户，执行以下命令，增加hostname域名解析。 echo "127.0.0.1 hostname" >> /etc/hosts 步骤 3执行以下命令，检查hostname域名解析。 ping hostname 回显如下类似信息，表示权限设置成功： PING testdr (127.0.0.1) 56(84) bytes of data.64 bytes from localhost (127.0.0.1): icmpseq1 ttl64 time0.022 ms 安装容灾网关时，网关drm进程已经存在，7443端口未被监听，导致配置安装云容灾网关失败 虚拟机执行命令： cat /proc/sys/kernel/random/entropyavail 查看返回值是否小于500，若小于500，需安装haveged，以满足加密程序对系统熵的要求；系统熵不足会导致线程阻塞问题，网关drm进程存在，7443端口监听很慢或不被监听 。 解决方法： 使用haveged对/dev/random补熵，下载，安装并启动haveged。 查看熵值，与初始熵值对比。 cat /proc/sys/kernel/random/entropyavail

此小节介绍数据库安全服务的产品定义。 产品介绍 数据库安全服务，即DBSS（Database Security Service），提供旁路模式数据库安全审计服务功能，通过实时记录用户访问数据库行为，形成细粒度的审计报告，对风险行为和攻击行为进行实时告警。同时，数据库安全审计可以生成满足数据安全标准（例如SarbanesOxley）的合规报告，对数据库的内部违规和不正当操作进行定位追责，保障数据资产安全。 数据库类型 数据库安全审计可以为管理控制台上的以下数据库提供旁路模式的数据库审计功能： 关系型数据库（Relational Database Service，RDS） 弹性云主机（Elastic Cloud Server ，ECS）的自建数据库 裸金属服务器（Bare Metal Server，BMS）的自建数据库 云主机（Elastic Cloud Server ，ECS）的自建数据库 物理机（Bare Metal Server，BMS）的自建数据库 数据库安全审计支持的数据库类型和版本 数据库类型 版本 MySQL 5.0、5.1、5.5、5.6、5.7 8.0（8.0.11及以前的子版本） 8.0.23 Oracel (因Orace为闭源协议，适配版本复杂，如您需审计Orace数据库，请先联系客服人员) 11g 11.1.0.6.0、11.2.0.1.0、11.2.0.2.0、11.2.0.3.0、11.2.0.4.0 12c 12.1.0.2.0、12.2.0.1.0 19c PostgreSQL 7.4 8.0 8.0、8.1、8.2、8.3、8.4 9.0 9.0、9.1、9.2、9.3、9.4、9.5、9.6 10.0 10.0、10.1、10.2、10.3、10.4、10.5 11.0 12.0 13.0 SQL Server 2008、2008R2 2012 2014 2016 2017 DWS 1.5 SHENTONG V7.0 GBase 8a V8.5 GBase 8s V8.8 Gbase XDM Custer V8.0 Greenplum V6.0 HighGo V6.0 TAURUS MySQ 8.0 DAMENG DM8 KINGBASE V8 MongoDB V5.0

本章节主要介绍翼MapReduce的导入证书操作。 操作场景 CA证书用于FusionInsight Manager各个模块、集群的组件客户端与服务端在通信过程中加密数据，实现安全通信。FusionInsight Manager支持快速导入CA证书，以确保产品安全使用。适用于以下场景： 首次安装好集群以后，需要更换企业证书。 企业证书有效时间已过期或安全性加强，需要更换为新的证书。 对系统的影响 更换证书过程中集群需要重启，此时系统无法访问且无法提供服务。 更换证书以后，所有组件和Manager的模块使用的证书将自动更新。 更换证书以后，还未信任该证书的本地环境，需要重新安装证书。 前提条件 证书文件和密钥文件可向企业证书管理员申请或由管理员生成。 获取需要导入到集群的CA证书文件（ .crt）、密钥文件（ .key）以及保存访问密钥文件密码的文件（password.property）。证书名称和密钥名称支持大小写字母和数字。以上文件在生成以后需要打包成tar格式压缩包。 准备一个访问密钥文件的密码用于访问密钥文件。 密码复杂度要求如下，如果密码复杂度不满足如下要求，可能存在安全风险： − 密码字符长度最小为8位。 − 至少需要包含大写字母、小写字母、数字、特殊字符~!?,.;'(){}[]/<>@ $%^&+中的4种类型字符。 向证书管理员申请证书时，请提供访问密钥文件的密码并申请crt、cer、cert和pem格式证书文件，以及key和pem格式密钥文件。申请的证书需要有签发功能。

本章节主要介绍翼MapReduce的用户组管理操作。 操作场景 FusionInsight Manager最大支持5000个用户组（包括系统内置用户组）。根据不同业务场景需要，管理员使用FusionInsight Manager创建并管理不同用户组。用户组通过绑定角色获取操作权限，用户加入用户组后，可获得用户组具有的操作权限。用户组同时可以达到对用户进行分类并统一管理多个用户。 前提条件 管理员已明确业务需求，并已创建业务场景需要的角色。 已登录FusionInsight Manager。 添加用户组 1. 选择“系统 > 权限 > 用户组”。 2. 在组列表上方，单击“添加用户组”。 3. 填写“组名”和“描述”。 “组名”由数字、字母、或下划线、中划线（）或空格组成，不区分大小写，长度为1～64位，不能与系统中已有的用户组名相同。 4. 在“角色”，单击“添加”选择指定的角色并添加。 说明 对于已启用Ranger授权的组件（HDFS与Yarn除外），Manager上非系统默认角色的权限将无法生效，需要通过配置Ranger策略为用户组赋权。 HDFS与Yarn的资源请求在Ranger中的策略条件未能覆盖的情况下，组件ACL规则仍将生效。 5. 在“用户”，单击“添加”选择指定的用户并添加。 6. 单击“确定”完成用户组创建。 查看用户组信息 用户组列表默认显示所有用户组。单击指定用户组名称左侧的箭头展开详细信息，可以查看此用户组中的用户数、用户以及绑定的角色。 修改用户组信息 在要修改信息用户组所在的行，单击“修改”，修改用户组信息。

将子网和网络ACL解除关联 操作场景 您可根据自身网络需求，将子网和网络ACL解除关联。 操作步骤 1. 登录管理控制台。 2. 选择“网络 > 虚拟私有云”，进入虚拟私有云列表页面。 3. 您可以通过以下多个操作入口，将子网和网络ACL解除关联。 入口一：在子网列表中，选择目标子网，解除子网和网络ACL的关联关系。 1. 在左侧导航栏，选择“子网”，进入子网列表页面。 2. 在子网列表中，单击目标子网对应的名称超链接，进入子网详情页面。 3. 在子网详情页面的右上方区域，单击网络ACL资源后的“取消关联”，弹出取消关联确认对话框。 4. 确认无误后，单击“确定”，返回子网详情页，可以看到网络ACL区域显示“暂未关联”。 入口二：在子网列表中，选择目标子网，并跳转到关联的网络ACL页面，解除子网和网络ACL的关联关系。 1. 在左侧导航栏，选择“子网”，进入子网列表页面。 2. 在子网列表中，单击目标子网对应的“网络ACL”列下的资源超链接，进入网络ACL详情页面。 3. 选择“关联子网”页签，勾选一个或多个目标子网，单击“取消关联”，弹出取消关联确认对话框。 4. 确认无误后，单击“确定”，返回“关联子网”页签的子网列表中，已无法看到解除关联网络ACL的子网。 入口三：在网络ACL列表中，选择目标网络ACL，解除网络ACL和子网的关联关系。 1. 在左侧导航栏，选择“访问控制 > 网络ACL”，进入网络ACL列表页面。 2. 在子网列表中，单击目标网络ACL所在行的操作列下的“关联子网”，进入“关联子网”页签。 3. 在“关联子网”页签中，勾选一个或多个目标子网，单击“取消关联”，弹出取消关联确认对话框。 4. 确认无误后，单击“确定”，返回“关联子网”页签的子网列表中，已无法看到解除关联网络ACL的子网。