本文将从功能简介、背景信息、前提条件、操作步骤、配置说明等方面介绍如何设置规则防护功能。 功能介绍 规则防护引擎使用基于正则的规则防护引擎和基于机器学习的 AI 防护引擎，进行 Web 漏洞和未知威胁防护。 目前防护 Web 攻击包括：SQL 注入、XSS 攻击、恶意扫描、命令注入攻击、Web 应用漏洞、WebShell 上传、不合规协议、木马后门等17类通用的 Web 攻击。 支持规则模板配置（安全基础配置—漏洞防护配置），用户可根据实际业务需要选择适合的模板，同时提供基于指定域名 URL 和规则 ID 白名单处置策略，进行误报处理。 背景信息 在控制台添加服务域名时，系统将通过4个问题确认网站的防护场景，并为您推荐默认生效的防护规则集，支持选择防护动作为告警或拦截。接入边缘云WAF业务成功后，将默认生效此防护规则集。 规则防护引擎基于各类防护场景，设定了七套防护规则集，能够满足各种网站业务防护需求，帮助网站抵御大量的Web攻击并提供漏洞防护。目前边缘云WAF安全团队总共已经维护五百多条防护规则，支持自动更新Web 0day漏洞攻击防护规则 全量防护规则集：适用于重保等级高，且允许一定程度误报的业务场景。该漏洞规则集防护包含全量规则，绝大部分规则处理动作为拦截（网站防护模式为拦截时则直接进行拦截），容易出现误报，请谨慎选择；敏感防护规则集：适用于常规网站，且允许少量误报的业务场景。该漏洞规则集防护等级较为严格，容易误报的规则处理动作为告警，其他规则处理动作为拦截（网站防护模式为拦截时则直接进行拦截），存在一定误报可能性； 宽松防护规则集：适用于常规网站，允许存在一定漏报的业务场景。该漏洞规则集防护等级较为宽松，关闭容易产生误报的规则，则可能存在一定漏报，接入后请及时关注； PHP防护规则集：适用于后台开发语言为PHP的网站业务。该漏洞规则集主要针对后台语言为PHP进行制定，关闭其他容易产生误报的规则，接入后请及时关注； JAVA防护规则集：适用于后台开发语言为JAVA的网站业务。该漏洞规则集主要针对后台语言为JAVA进行制定，关闭其他容易产生误报的规则，接入后请及时关注； 非PHP和JAVA防护集：适用于后台开发语言明确非PHP和JAVA网站业务。该漏洞规则集主要针对后台语言为非PHP和JAVA进行制定，关闭其他容易产生误报的规则，接入后请及时关注； 下载类业务规则集：适用于下载类业务，即包含zip、rar、tar、gz等下载类后缀的业务网站。该漏洞规则集主要针对下载类业务进行设定规则，关闭其他容易产生误报的规则，接入后请及时关注；

通过控制台创建HPA 登录分布式容器云平台控制台，在集群管理页面，点击目标集群； 在集群详情页面左侧导航栏，选择工作负载>无状态>更多>水平伸缩，选择伸缩的配置。 选择度量指标，支持两种类型：资源度量指标、自定义度量指标（Pod度量、Obeject度量）。 通过Kubectl命令创建HPA 通过基础资源度量指标（CPU、内存）进行Pod的水平自动伸缩 plaintext 以CPU配置为例，配置如下： apiVersion: v1 kind: Service metadata: name: hapnginx spec: type: NodePort ports: name: "http" port: 80 targetPort: 80 nodePort: 30080 selector: service: hapnginx apiVersion: apps/v1 kind: Deployment metadata: name: hapnginx spec: replicas: 1 selector: matchLabels: service: hapnginx template: metadata: labels: service: hapnginx spec: containers: name: hapnginx image: registrycrshuadong1.ctyun.cn/library/nginx:alpine resources: requests: cpu: 100m memory: 100Mi limits: cpu: 200m memory: 200Mi HPA对象 plaintext apiVersion: autoscaling/v2 kind: HorizontalPodAutoscaler metadata: name: hapnginx spec: maxReplicas: 5 最大扩容到5个副本（pod） minReplicas: 1 最小扩容1个副本（pod） metrics: resource: name: cpu target: averageUtilization: 40 CPU 平均资源使用率达到40%就开始扩容，低于40%就是缩容 设置内存 AverageValue：40 type: Utilization type: Resource scaleTargetRef: apiVersion: apps/v1 kind: Deployment name: hapnginx 使用ab工具进行压测 plaintext yum install httpd y ab n 1000000 c 100 http:// 查看pod动态扩容 plaintext kubectl get po w grep hpa

本章节主要介绍翼MapReduce集群组件使用规则。 Kafka支持四种协议类型的访问，分别为：PLAINTEXT、SSL、SASLPLAINTEXT、SASLSSL。当前，翼MR集群默认采用Kerberos安全验证服务，Kafka协议类型建议使用SASLPLAINTEXT、SASLSSL这两种。

本文为您介绍半托管迁移模式的使用场景和流程。 什么是半托管模式 对象存储迁移服务（ZMS，全称ZOS Migration Service）支持用户在本地设备上部署代理软件（zmsagent） ，来执行迁移任务。半托管模式具有如下特点和优势： 靠近源端部署 ：可部署在靠近源端的环境中，代理程序通过从源端内网下载数据，通过公网传输至ZOS目的端，减少源端对象存储数据流出费用。 可选分布式部署 ：采用主从架构，可部署多设备，提供分布式迁移能力。 多任务并行迁移 ：支持多个迁移任务同时执行。 控制台管控 ：支持通过天翼云官网迁移服务控制台对迁移任务进行控制。 功能丰富 ：兼容全托管模式迁移的所有功能，包括断点续传。 半托管模式的使用场景 靠近源端迁移 ：通过将代理软件和机器部署在源端内网中，实现从源端内网下载对象，节省对象流出费用。 迁移资源独享 ：相较于全托管模式的资源共享，半托管模式可高效利用部署代理的设备的网络与计算资源，实现资源独享，帮助用户快速进行对象存储数据迁移。 半托管模式的使用流程 使用半托管模式进行迁移需要您在对象存储迁移控制台和您的部署设备上分别进行操作，您可按照如下流程进行操作： 1. 创建代理：在控制台上创建代理。 2. 部署代理：在您的设备上部署代理。 3. 管理代理：在控制台上管理已部署的代理。 4. 创建半托管模式的迁移任务：在控制台上进行半托管模式迁移任务的创建与管理。

高级命令 replace replace命令用于对已有资源进行更新、替换。当我们需要更新resource的一些属性的时候，如果修改副本数量，增加、修改label，更改image版本，修改端口等。都可以直接修改原yaml文件，然后执行replace命令。 kubectl replace f filename 须知：名字不能被更新。另外，如果是更新label，原有标签的pod将会与更新label后的rc断开联系，有新label的rc将会创建指定副本数的新的pod，但是默认并不会删除原来的pod。所以此时如果使用get po将会发现pod数翻倍，进一步check会发现原来的pod已经不会被新rc控制。 apply apply命令提供了比patch，edit等更严格的更新resource的方式。通过apply，用户可以将resource的configuration使用source control的方式维护在版本库中。每次有更新时，将配置文件push到server，然后使用kubectl apply将更新应用到resource。kubernetes会在引用更新前将当前配置文件中的配置同已经应用的配置做比较，并只更新更改的部分，而不会主动更改任何用户未指定的部分。apply命令的使用方式同replace相同，不同的是，apply不会删除原有resource，然后创建新的。apply直接在原有resource的基础上进行更新。同时kubectl apply还会在resource中添加一条注释，标记当前的apply，类似于git操作。 kubectl apply f patch 如果一个容器已经在运行，这时需要对一些容器属性进行修改，又不想删除容器，或不方便通过replace的方式进行更新。kubernetes还提供了一种在容器运行时，直接对容器进行修改的方式，就是patch命令。 例如已存在一个pod的label为appnginx1，如果需要在运行过程中，将其修改为appnginx2。 kubectl patch pod podname p '{"metadata":{"lables":{"app":"nginx1"}}}' convent 不同的api版本之间转换配置文件。

本节介绍态势感知（专业版）支持接入的日志。 态势感知（专业版）支持集成多种云产品的日志数据。集成后，可以检索并分析所有收集到的日志。 支持接入的日志： 云服务 日志描述 日志 日志生命周期范围 Web应用防火墙（Web Application Firewall，WAF） 攻击日志 wafattack 7~30 天 Web应用防火墙（Web Application Firewall，WAF） 访问日志 wafaccess 7~30 天 态势感知（专业版） 合规基线日志 secmasterbaseline 7~10 天 对象存储服务（Object Storage Service，OBS） 访问日志 obsaccess 7~15 天 入侵防御系统（Intrusion Prevention System，IPS） 攻击日志 nipattack 7~180 天 统一身份认证（Identity and Access Management，IAM） 审计日志 iamaudit 7~180 天 企业主机安全（Host Security Service，HSS） 主机安全告警 hssalarm 7~180 天 企业主机安全（Host Security Service，HSS） 主机漏洞扫描结果 hssvul 7 天 企业主机安全（Host Security Service，HSS） 主机安全日志 hsslog 7~15 天 数据安全中心（Data Security Center，DSC） 告警日志 dscalarm 7~180 天 AntiDDoS流量清洗（AntiDDoS） 攻击日志 ddosattack 7~180 天 数据库安全服务（Database Security Service，DBSS） 告警日志 dbssalarm 7~180 天 云审计服务（Cloud Trace Service，CTS） 云审计服务日志 ctsaudit 7~180 天 云防火墙（Cloud Firewall，CFW） 访问控制日志 cfwblock 7~30 天 云防火墙（Cloud Firewall，CFW） 流量日志 cfwflow 7~15 天 云防火墙（Cloud Firewall，CFW） 攻击事件日志 cfwrisk 7~180 天 API网关（API Gateway） 访问日志 apigaccess 7~180 天

runningacommandinashell " ")。 容器的生命周期与启动命令的生命周期一致，即启动命令执行完成后容器的生命周期结束。 下面将以启动一个nginx 为例，介绍容器启动命令典型的三个使用场景： 示例代码如下： nginx c nginx.conf 场景一：容器的“运行命令”和“运行参数”均作设置，界面截图如下： 运行命令和运行参数均设置 所生成的YAML样例如下： command: nginx args: 'c' nginx.conf 场景二：仅设置容器的“运行命令”，界面截图如下： 仅设置运行命令 说明： 运行命令中前后要加英文双引号""，若不加则会按照空格将命令拆分成多条执行。 所生成的YAML样例如下： command: nginx c nginx.conf args: 场景三：仅设置容器的“运行参数”，界面截图如下： 仅设置运行参数 说明： 如果运行命令没有添加到系统路径中，可以使用/bin/sh来执行命令，命令需要加英文双引号""。 所生成的YAML样例如下： command: /bin/sh args: 'c' '"nginx c nginx.conf"' 步骤 3 您可以通过如下方式检查或修改YAML： 创建工作负载时，在“高级设置”步骤中，单击右侧的“YAML创建”。 工作负载创建完成后，在工作负载列表中，单击工作负载名称后的“更多 > 编辑YAML”。 工作负载创建完成后，进入工作负载详情页面，单击右上角的“编辑YAML”。 设置容器启动命令YAML样例 本节以nginx为例，说明通过kubectl设置容器启动命令的方法。 前提条件 请参见通过kubectl操作CCE集群配置kubectl命令，使弹性云主机连接集群。 操作步骤 参见通过kubectl命令行创建无状态工作负载或通过kubectl命令行创建有状态工作负载时，容器启动命令的参数设置如下所示，详细请参见kubernetes官方文档。 apiVersion: extensions/v1beta1 kind: Deployment metadata: name: nginx spec: replicas: 1 selector: matchLabels: app: nginx strategy: type: RollingUpdate template: metadata: labels: app: nginx spec: containers: image: nginx command: sleep '3600'

Flume安装 Apache Flume官网下载地址： 下载apacheflume1.9.0bin.tar.gz。 解压安装tar zxvf apacheflume1.9.0bin.tar.gz 设置环境变量： 　　vi ~/.bashprofile 　　export FLUMEHOME /usr/local/apacheflume1.9.0bin 　　export PATH FLUMEHOME/bin:PATH 　　source ~/.bashprofile 修改Flume配置文件（$ FLUMEHOME/conf）： 按照模板复制出env.sh配置文件：cp flumeenv.sh.template flumeenv.sh 修改配置文件：vi flumeenv.sh，设置JAVAHOME： export JAVAHOME /usr/local/java/jdk1.8.0311 验证Flume安装是否成功： 至此，已完成Flume的安装与验证。 获取Kafka实例信息 1.登录天翼云Kafka专享版实例控制台。 2.在Kafka专享版页面，选择对应的实例，单击实例“名称”，进入实例基本信息页面。 3.在实例的基本信息页面的连接地址模块，可获取实例的IP地址与端口。 4.选择对应的Topic，如需创建Topic，请参考创建Topic。 配置Flume与Kafka互联 在$FLUMEHOME/conf下添加连接Kafka的配置文件：flumetokafka.conf，如下： 启动Flume并测试连接情况 启动Flume： bin/flumeng agent conf conf conffile conf/flumetokafka.conf name flumekafka Dflume.root.loggerINFO,console >./data.log 2>&1 &

下载客户端请跳转至VPN客户端下载。

此小节介绍云堡垒机的访问控制策略。 新建访问控制策略并关联用户和资源账户 访问控制策略用于控制用户访问资源的权限。 访问控制策略支持以下功能项： 1. 支持按策略列表页策略排序区分优先级，排序越靠前优先级越高。 2. 策略基本限制和授权功能，包括使用有效期、登录时段限制、用户IP限制、文件传输权限、文件管理权限、RDP剪切板功能、运维水印显示功能等维度。同时可通过关联用户组或帐户组，批量授权访问控制权限。 约束限制 授权文件上传/下载权限，需同时开启“文件传输”和“文件管理”。 前提条件 已获取“访问控制策略”模块操作权限。 操作步骤 1. 登录云堡垒机系统。 2. 选择“策略 > 访问控制策略”，进入策略列表页面。 3. 单击“新建”，弹出策略基本属性配置窗口。 选择一个策略，单击“更多 > 插入”，亦可新建访问控制策略。配置完成后，在已创建的策略前新建一个策略。 4. 配置策略基本信息。新建访问控制策略： 访问控制策略基本信息参数说明 参数 说明 策略名称 自定义的访问控制策略名称，系统内“策略名称”不能重复。 有效期 选择策略生效时间和策略的失效时间。 文件传输 在运维过程中上传和下载文件权限。 勾选代表允许对文件上传或下载. 不勾选代表禁止对文件上传或下载。 更多选项 在运维过程中管理文件或文件夹权限，RDP剪切板和会话窗口显示水印功能。 SSH和RDP协议主机支持文件管理。 VNC协议主机不能直接文件管理，但可通过应用发布方式实现文件管理 Telnet协议主机不支持文件管理。 登录时段限制 选择登录资源的时间段权限。 IP限制 限制/允许用户“来源IP”访问资源。 选择“黑名单”，配置相应IP或IP网段，即限制该IP或IP网段用户登录资源。 选择“白名单”，配置相应IP或IP网段，即仅允许该IP或IP网段用户登录资源。 IP地址缺省状态下，即不限制用户IP登录资源。 5. 单击“下一步”，关联用户或用户组。 可同时配置关联多个用户或用户组。 当用户组关联策略后，新用户加入到用户组中会自动继承用户组的策略权限。 关联用户 6. 单击“下一步”，关联资源账户或帐户组。 可同时配置关联多个资源账户或资源账户组。 当资源账户组关联策略后，新资源账户加入到帐户组中会自动继承帐户组的策略权限。 关联资源账户 7. 单击“确定”，返回策略列表页面查看新建策略。 授权用户即可在“主机运维”或“应用运维”列表页面，查看和登录资源。 “关联用户”和“关联用户组”中用户需拥有资源运维的权限，即“角色”已配置主机运维或应用运维。否则用户登录系统后无法查看资源运维模块，不能进行运维登录操作。

本章节主要介绍翼MapReduce的创建备份任务操作。 操作场景 FusionInsight Manager支持在界面上创建备份任务，运行备份任务将对指定的数据进行备份。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“运维 > 备份恢复 > 备份管理 > 创建”。 3. 设置“备份对象”为“OMS”或需要备份数据的集群。 4. 在“任务名称”输入参数值。 5. 在“备份类型”选择任务执行属性。 备份类型说明 类型 参数 说明 周期备份 开始时间 表示周期备份任务第一次启动的时间 周期备份 周期 表示任务下次启动，与上一次运行的时间间隔，支持“小时”或“天” 周期备份 备份策略 可以选择下策略： 首次全量备份，后续增量备份 每次都全量备份 每n次进行一次全量备份 手动备份 无 需要手动运行任务才能进行备份 6. 在“备份配置”指定需要备份的数据。 支持备份元数据和业务数据。 各组件不同数据的备份任务操作请参考备份恢复管理。 7. 单击“确定”保存。 8. 在备份任务列表，可以查看刚创建的备份任务。 在指定的备份任务“操作”列，选择“更多 > 即时备份”，可以立即运行备份任务。

用户可通过本接口获得一个视频条目的全部截图列表。 接口功能介绍 用户可通过本接口获得一个视频条目的全部截图列表。 接口约束 本接口的单用户QPS限制为20次/秒。超过限制，API调用会被限流，这可能会影响您的业务，请合理调用。 URI GET /xstorevod/snapshot/picture 请求体 Query 参数 参数 是否必填 参数类型 说明 示例 下级对象 originVideoUuid 是 String 源视频videoID。 494df3af1bd04fc28e2f0c5b73a45b6d snapshotTemplateId 是 String 必填参数，截图模板ID。 100000000001 watermarkTemplateId 否 String 选填参数，水印模板ID，截图打水印时传入该入参。 100000000001 响应参数 参数 是否必填 参数类型 说明 示例 下级对象 code 是 Integer 本次请求的结果码。 0 message 是 String 错误文本信息。 "" data 是 Object 返回的结果。 data 表data 参数 是否必填 参数类型 说明 示例 下级对象 webVTTFile 否 String WebVTT文件（如有）。 spriteSnapshots 否 Array of Strings 合成雪碧图或webVTT合成大横图（如有）。 [" " originalSnapshots 否 Array of Strings 原始截图（如有）。 [" "

本节介绍了密钥对无法下载的处理方法。 密钥对私钥文件只能下载一次。 如果密钥对私钥文件已丢失，建议您重新创建并下载保存。 处理方法 1. 登录管理控制台，选择“密钥对”。 2. 单击“创建密钥对” 。 3. 单击“确定”将密钥对保存到本地。

本小节介绍权限控制相关的常见问题。 客户SSL VPN接入之后，是否能够做到文档权限只能浏览不能下载？ VPN Web或者L3VPN接入无法控制应用的内容权限控制。如果客户是出于保密的需求，可以引导使用VDI的桌面云或应用虚拟化技术，所有资源都只能浏览，不能下载。 是否可以做到SSL VPN拨号之后，不允许访问互联网？ VPN专线就可以实现，EC和aWork都支持，用户拨号进入VPN之后，不允许访问本地局域网，增强安全性。 SSL VPN与CAS对接认证的场景下，用户角色授权如何实现？ CAS认证支持组映射和角色映射。（自M766R1版本开始支持）。 能否限制某个资源只能够从指定IP接入访问？ 背景：客户内网有OA和财务系统，OA类的系统在办公网，财务类的系统在生产网，平时访问财务系统都需要切换网线，比较麻烦，打算用VPN统一发布内网业务系统，但要求财务系统通过VPN也只能够在内网使用。 解决方案：维护两套账号，普通账号只能访问OA，不限制接入网络；财务账号可以访问财务系统，但限制接入IP必须是内网。

工作原理 天翼云资源池，针对四层的TCP请求（TCP监听器），可以通过下述两种方式获取客户端源IP： 1. 在后端主机内配置TOA插件获取客户端的真实源IP地址。TOA是操作系统的内核模块，需要在ELB后端主机中安装TOA插件，以实现后端主机可获取客户端真实源IP地址的目的。具体操作参考——操作步骤（TOA模式）。 2. 在后端主机组上打开“获取客户端真实源IP”（该功能不支持平滑开启，切换到ProxyProtocol需要业务停服升级，请谨慎配置）开关，并在后端主机里开启Proxy Protocol后获取到客户端真实源IP。具体操作参考——操作步骤（Proxy Protocol模式）。该功能具体支持情况请以控制台显示为准。 说明 “获取客户端真实源IP”需要代理服务器和后端主机都支持该协议才能正常使用。如果后端主机不具备解析Proxy Protocol协议能力，打开特性开关可能会导致后端服务解析异常，从而影响服务可用性。 对于操作步骤（Proxy Protocol模式）实际支持情况以控制台展现为准。 操作步骤 TOA模式 1. 准备编译环境 a. 针对Linux内核版本为3.0以上的操作系统。以Centos环境为例。 b. 安装gcc编译器，执行以下命令： sudo yum install gcc c. 安装make工具，执行以下命令： sudo yum install make d. 安装内核模块开发包，执行以下命令： sudo yum install kerneldeveluname r e. 注意开发包的版本需要与内核版本一致，假如自带源里没有对应的内核开发包，可以到以下链接地址进行下载，地址如下： 以3.10.01160.80.1.0.1.el7.x8664为例，下载后执行以下命令安装： rpm ivh kerneldevel3.10.01160.80.1.0.1.el7.x8664.rpm f. 以下步骤是以Ubuntu、Debian环境为例，进行编译环境准备。 g. 安装gcc编译器，执行以下命令： sudo aptget install gcc h. 安装make工具，执行以下命令： sudo aptget install make i. 安装内核模块开发包，执行以下命令： sudo aptget install linuxheadersuname r 2. 编译内核模块 a. 下载TOA内核模块源代码，点击进入常见TOA下载页面 （获取验证码：t7nv）进行下载。 b. 编译模块。执行以下命令： cd src make c. 编译过程若未提示warning或者error，说明编译成功，检查当前目录下是否已经生成toa.ko文件。 3. 加载内核模块 a. 加载内核模块，执行以下命令： sudo insmod toa.ko b. 验证模块加载情况及内核输出信息，执行以下命令： dmesg grep TOA 假如提示信息中包含“TOA: toa loaded”，则证明内核模块已经加载成功。 说明 当CoreOS在容器中编译完内核模块后，需要将内核模块复制到宿主系统，最后在宿主系统中加载内核模块。另外由于编译内核模块的容器和宿主系统共享/lib/modules目录，可以在容器中将内核模块复制到该目录下，以供宿主系统使用 4. 自动加载内核模块 a. 把加载TOA内核模块的命令加到您的启动脚本中，能够保证TOA内核模块在系统启动时生效。 b. 在自定义的启动脚本中添加加载TOA内核模块的命令。具体步骤可参考以下操作： c. 在“/etc/sysconfig/modules/”目录下新建toa.modules文件。该文件包含了TOA内核模块的加载脚本。toa.modules文件内容，请参考如下示例：

本章介绍态势感知的日志管理能力。 通过授权对象存储服务（Object Storage Service，OBS）存储态势感知日志，帮助用户轻松应对安全日志存储、导出场景，以及满足日志存储180天及集中审计的要求。 背景信息 日志管理通过授权OBS存储SA日志，可实现日志存储、导出场景。日志存储后，支持长久存储和本地下载日志数据。 前提条件 已购买专业版态势感知，且在有效使用期内。 创建日志存储至OBS桶 为满足安全审计日志存储180天要求，可将日志存储至OBS桶。OBS支持长久存储日志数据，并支持在OBS控制台下载日志文件。 1. 登录管理控制台。 2. 在页面左上角单击，选择“安全 > 态势感知（专业版） > 日志管理”，进入日志管理页面。 3. 在“存储至OBS桶”栏中，单击，开启存储。 4. 配置存储日志相关参数，具体参数说明如下表所示。 参数名称 参数说明 桶名称 选择已创建的OBS桶。 如果没有可选择的OBS桶，单击“您没有可用的OBS桶，请前往创建”，进入对象存储服务管理控制台，创建OBS桶。 说明 目前仅支持选择当前帐号所在的区域中已有的OBS桶。 目前仅支持存储类别为“标准存储”和“低频访问存储”的OBS桶。 对象名称 自定义对象名称。 存储路径 根据桶名称和对象名称生成的存储路径。 5. 单击“确定”，完成配置。 配置成功后，日志将在大约10分钟后存储至OBS桶。

应用场景 网站/新媒体内容安全检测 内容合法合规性检测 国家政策要求各地方机构要认真落实意识形态工作和网络内容安全工作责任制。为响应国家政策，内容安全检测服务可对网站/新媒体内容进行合法合规检测，主要对文本、图片、视频、语音进行检测和识别是否包含色情、涉政、暴力、惊悚、不宜广告、垃圾信息、不良内容等，有效帮助您降低内容风险。 内容准确性检测 对网站/主流新媒体平台的内容进行准确性检测，主要对文本、图片、视频、语音进行表述规范审核，如对错别字、生僻字、词法表述、语法表述等内容进行检测审核。

操作场景 用户开发大数据应用程序并在支持Kerberos认证的MRS集群中运行程序时，需要准备访问MRS集群的用户认证文件。认证文件中的keytab文件可用于认证用户身份。 该任务指导管理员用户通过MRS Manager下载用户认证文件并导出keytab文件。 说明 如果选择下载“人机”用户的认证文件，在下载前需要使用Manager修改过一次此用户的密码使管理员设置的初始密码失效，否则导出的keytab文件无法使用。请参见 修改用户密码后，之前导出的keytab将失效，需要重新导出。 操作步骤 在MRS Manager，单击“系统设置”。 1. 在“权限配置”区域，单击“用户管理”。 2. 在需导出keytab文件用户所在的行，选择“更多 > 下载认证凭据”下载认证文件，待文件自动生成后指定保存位置，并妥善保管该文件。 3. 使用解压程序打开认证文件。 “user.keytab”表示用户keytab文件，用于认证用户身份。 “krb5.conf”表示认证服务器配置文件，应用程序在进行用户认证身份时根据该文件的配置信息连接认证服务器。

本章节为您介绍如何登录密码产品实例。 在您购买云密评专区的密码服务后，会在控制台生成所选购服务的实例，下面为您介绍如何登录实例。 登录步骤 1. 登录天翼云云密评专区控制台。 2. 在界面左上角选择部署业务的资源池，进入实例界面。 3. 选择要登录的实例，单击“管理”，即可进入实例登录页面，在登录页面选择登录方式，并输入用户名和密码等验证信息进行登录。 说明 首次登录实例时，请根据界面提示修改密码，否则无法进入系统。 首次登录默认账号如下： 管理员首次登录：默认账号为购买密码产品时，自定义设置的用户名和密码，可以参见获取初始登录账号获取初始账密。 其他用户首次登录：默认账号为管理员创建用户时设置的用户名和密码，请联系管理员获取。 非首次登录，若用户忘记了密码，可以通过登录页面进行重置密码。

备份与恢复方案 下表提供了常见的数据备份和下载备份文件的方法。 表 备份方案 任务类型 备份或恢复类型 支持的实例类型 使用场景 :::: 数据备份 自动备份 集群、副本集 您可以通过控制台对DDS进行自动备份。 数据备份 增量备份 集群、副本集 您可以通过控制台对DDS进行增量备份。 数据备份 异地备份 集群、副本集 您可以通过控制台对DDS进行跨区域备份。 数据备份 手动备份 集群、副本集 您可以通过控制台对DDS进行手动备份。 数据备份 通过mongodump工具备份 集群、副本集 您可以通过MongoDB客户端自带的备份恢复工具对自建MongoDB或云上MongoDB数据库进行手动备份。 数据备份 通过mongoexport工具备份 集群、副本集 您可以通过MongoDB客户端自带的备份恢复工具对自建MongoDB或云上MongoDB数据库进行手动备份。 下载备份文件 使用OBS Browser+下载 集群、副本集 备份文件大于400MB时，适合使用OBS Browser+下载。 下载备份文件 使用浏览器直接下载 副本集 适合通过浏览器直接下载备份文件。 下载备份文件 按地址下载 集群、副本集 适用于通过浏览器新窗口、迅雷或者wget等方式下载备份文件。 DDS详细的恢复方案请参见恢复方案。

本节介绍天翼云电脑移动客户端进行实名认证的操作流程。 用户需通过实名认证后才允许订购云电脑。实名认证步骤如下： 1.登录并打开“天翼云电脑”移动客户端App； 2.进入“我”，点击“未认证”； 3.在实名认证页面，拍照上传身份证正反面，系统自动识别证件号码，如确认无误，点击“确认提交”按钮； 4.点击“下一步 人脸识别验证”，再点击“开始识别”； （注：需要身份证本人进行人脸识别操作） 5.根据提示完成人脸识别，提交实名认证，实名认证通过即可。

响应JSON参数 参数名 类型 名称 code int 状态码 message string 描述信息 示例 请求路径： 请求JSON示例 { "Option":0, "domain":"ctyun.cn", "appname":"livetest", "streamname":"streamtest", "media": [{"id": "65shhklue975easaa457", "type": "livetran"}] } 正常返回JSON示例 { "code": 100000, "message": "success" }

本文介绍推流域名是否有限制直播流推流路数。 天翼云视频直播服务对推流域名对应的直播流数未做限制。 默认情况下，推流域名不计费，但当推流域名带宽与拉流域名带宽比例大于1:50时，推流域名会产生费用。 注意 推流域名并发流数如果突发过高，建议

本文介绍可以支持客户自定义的回源场景和配置方法。 功能介绍 源站配置模块支持客户自定义源站。支持IP或域名，支持配置天翼云媒体存储和天翼云对象存储作为源站；支持配置多个源站地址，多源站场景下，支持设置源站的主备优先级和权重，实现负载均衡。 回源场景 功能简介 配置入口 多层级主备及权重回源 客户有多个源站时，支持多主多备，及按不同权重回源。 客户控制台域名管理域名列表回源配置源站配置。 动态回源策略 如果您的加速域名有多个源站，可以配置合适的回源策略来实现不同的效果。动态回源策略支持择优回源、按权重回源、保持登录三种回源方式。 详见：动态回源策略 区分地区、运营商回源 支持分地区、运营商回源。 通过提交工单，由天翼云客服人工配置。 区分IPv4/IPv6协议回源 支持分IPv4/IPv6协议回源。 通过提交工单，由天翼云客服人工配置。 配置说明 1. 登录客户控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【回源配置】。 5. 在【源站】模块，单击【添加源站】。 6. 根据需求填写配置。 7. 单击【保存】，完成配置。 参数名 说明 源站类型 可选择IP或域名/媒体存储源站/对象存储源站。媒体存储源站和对象存储源站不可同时配置，且只能配置一个媒体存储源站/对象存储源站。 源站 即源站地址，支持IP或域名。 层级 支持主或备。 权重 即回该源站的权重值。 指定源站回源HOST 回源HOST决定了回源请求访问到源站的哪个站点。当不同源站使用不同回源HOST时，需通过“指定源站回源HOST”进行设定。 操作 可删除源站配置。

使用飞书，与你的OpenClaw助理开始聊天 1、打开飞书APP，进去开发者小助手，找到机器人，点击打开应用开启对话。 2、与机器人进行对话。

参数 参数类型 说明 示例 下级对象 regex String 匹配规则，use为true时，不可为空 /test replacement String 替换值，use为true时，不可为空 /test/app use Boolean 是否启用属性，true为启用，默认为false true

3、创建工作负载 使用kubectl连接集群，创建示例yaml文件stsexample.yaml： plaintext apiVersion: "apps/v1" kind: "StatefulSet" metadata: name: "oceanfsstest" namespace: "default" spec: podManagementPolicy: "OrderedReady" replicas: 1 revisionHistoryLimit: 10 serviceName: "" template: spec: containers: image: "nginx:1.25alpine" imagePullPolicy: "IfNotPresent" name: "container1" resources: limits: cpu: "100m" memory: "256Mi" requests: cpu: "100m" memory: "256Mi" terminationMessagePath: "/dev/terminationlog" terminationMessagePolicy: "File" volumeMounts: mountPath: "/ccetmp" name: "volume1" dnsPolicy: "ClusterFirst" restartPolicy: "Always" schedulerName: "defaultscheduler" securityContext: {} terminationGracePeriodSeconds: 30 volumes: name: "volume1" persistentVolumeClaim: claimName: {YOURPVCNAME} 替换为步骤2中的PVC名称 updateStrategy: rollingUpdate: partition: 0 type: "RollingUpdate" 执行以下命令，创建StatefulSet kubectl apply f stsexample.yaml 查看创建的有状态负载： 登录“云容器引擎”管理控制台，在集群列表页点击进入指定集群。进入主菜单“工作负载”——“有状态”，在列表查看。 验证数据持久化 登录“云容器引擎”管理控制台； 在集群列表页点击进入指定集群； 进入主菜单“工作负载”——“有状态”，进入负载详情； 在Pod列表页，选择“远程登录”，进入到容器内执行以下命令： 1、向/ccetmp 目录下写一个文件，执行echo "Hello World" > /ccetmp/test.log 2、查看/ccetmp目录下文件，执行ls /ccetmp，预期结果如下: plaintext test.log 退出“远程登录”，对上一步中的Pod执行“销毁重建”，等待Pod重新运行正常； 对新建Pod，继续执行“远程登录”，进入到容器内查看数据。执行cat /ccetmp/test.log，预期结果如下： plaintext Hello World 以上步骤说明，pod删除重建后，重新挂载存储卷，数据仍然存在， 说明数据可持久化保存。

3、创建工作负载 使用kubectl连接集群，创建示例yaml文件stsexample.yaml： plaintext apiVersion: "apps/v1" kind: "StatefulSet" metadata: name: "oceanfstest" namespace: "default" spec: podManagementPolicy: "OrderedReady" replicas: 1 revisionHistoryLimit: 10 template: spec: containers: image: "nginx:1.25alpine" imagePullPolicy: "IfNotPresent" name: "container1" resources: limits: cpu: "100m" memory: "256Mi" requests: cpu: "100m" memory: "256Mi" terminationMessagePath: "/dev/terminationlog" terminationMessagePolicy: "File" volumeMounts: mountPath: "/ccetmp" name: "volume1" dnsPolicy: "ClusterFirst" restartPolicy: "Always" schedulerName: "defaultscheduler" securityContext: {} terminationGracePeriodSeconds: 30 volumes: name: "volume1" persistentVolumeClaim: claimName: "cstorpvcoceanfssharepath" updateStrategy: rollingUpdate: partition: 0 type: "RollingUpdate" 执行以下命令，创建StatefulSet plaintext kubectl apply f stsexample.yaml 查看创建的有状态负载： 登录“云容器引擎”管理控制台，在集群列表页点击进入指定集群。进入主菜单“工作负载”——“有状态”，在列表查看。 验证数据持久化 登录“云容器引擎”管理控制台。 在集群列表页点击进入指定集群。 进入主菜单“工作负载”——“有状态”，进入负载详情。 在Pod列表页，选择“远程登录”，进入到容器内执行以下命令： 1、向/ccetmp 目录下写一个文件，执行 plaintext echo "Hello World" > /ccetmp/test.log 2、查看/ccetmp目录下文件，执行ls /ccetmp，预期结果如下: plaintext test.log 退出“远程登录”，对上一步中的Pod执行“销毁重建”，等待Pod重新运行正常； 对新建Pod，继续执行“远程登录”，进入到容器内查看数据。执行cat /ccetmp/test.log，预期结果如下： plaintext Hello World 以上步骤说明，pod删除重建后，重新挂载存储卷，数据仍然存在，说明海量文件服务中的数据可持久化保存。

3、创建工作负载 使用kubectl连接集群，创建示例yaml文件stsexample.yaml： plaintext apiVersion: "apps/v1" kind: "StatefulSet" metadata: name: "hpfstest" namespace: "default" spec: podManagementPolicy: "OrderedReady" replicas: 1 revisionHistoryLimit: 10 serviceName: "" template: spec: containers: image: "nginx:1.25alpine" imagePullPolicy: "IfNotPresent" name: "container1" resources: limits: cpu: "100m" memory: "256Mi" requests: cpu: "100m" memory: "256Mi" terminationMessagePath: "/dev/terminationlog" terminationMessagePolicy: "File" volumeMounts: mountPath: "/ccetmp" name: "volume1" dnsPolicy: "ClusterFirst" restartPolicy: "Always" schedulerName: "defaultscheduler" securityContext: {} terminationGracePeriodSeconds: 30 volumes: name: "volume1" persistentVolumeClaim: claimName: {YOURPVCNAME} 替换为步骤2中的PVC名称 updateStrategy: rollingUpdate: partition: 0 type: "RollingUpdate" 执行以下命令，创建StatefulSet plaintext kubectl apply f stsexample.yaml 查看创建的有状态负载：登录“云容器引擎”管理控制台；在集群列表页点击进入指定集群；进入主菜单“工作负载”——“有状态”，在列表查看。 验证数据持久化 登录“云容器引擎”管理控制台； 在集群列表页点击进入指定集群； 进入主菜单“工作负载”——“有状态”，进入负载详情； 在Pod列表页，选择“远程登录”，进入到容器内执行以下命令： 1、向/ccetmp 目录下写一个文件，执行echo "Hello World" > /ccetmp/test.log 2、查看/ccetmp目录下文件，执行ls /ccetmp，预期结果如下: plaintext test.log 退出“远程登录”，对上一步中的Pod执行“销毁重建”，等待Pod重新运行正常； 对新建Pod，继续执行“远程登录”，进入到容器内查看数据。执行cat /ccetmp/test.log，预期结果如下： plaintext Hello World 以上步骤说明，pod删除重建后，重新挂载存储卷，数据仍然存在， 说明数据可持久化保存。

3、创建工作负载 使用kubectl连接集群，创建示例yaml文件stsexample.yaml： plaintext apiVersion: "apps/v1" kind: "StatefulSet" metadata: name: "hpfstest" namespace: "default" spec: podManagementPolicy: "OrderedReady" replicas: 1 revisionHistoryLimit: 10 serviceName: "" template: spec: containers: image: "nginx:1.25alpine" imagePullPolicy: "IfNotPresent" name: "container1" resources: limits: cpu: "100m" memory: "256Mi" requests: cpu: "100m" memory: "256Mi" terminationMessagePath: "/dev/terminationlog" terminationMessagePolicy: "File" volumeMounts: mountPath: "/ccetmp" name: "volume1" dnsPolicy: "ClusterFirst" restartPolicy: "Always" schedulerName: "defaultscheduler" securityContext: {} terminationGracePeriodSeconds: 30 volumes: name: "volume1" persistentVolumeClaim: claimName: {YOURPVCNAME} 替换为步骤2中的PVC名称 updateStrategy: rollingUpdate: partition: 0 type: "RollingUpdate" 执行以下命令，创建StatefulSet plaintext kubectl apply f stsexample.yaml 查看创建的有状态负载：登录“云容器引擎”管理控制台；在集群列表页点击进入指定集群；进入主菜单“工作负载”——“有状态”，在列表查看。 验证数据持久化 登录“云容器引擎”管理控制台； 在集群列表页点击进入指定集群； 进入主菜单“工作负载”——“有状态”，进入负载详情； 在Pod列表页，选择“远程登录”，进入到容器内执行以下命令： 1、向/ccetmp 目录下写一个文件，执行echo "Hello World" > /ccetmp/test.log 2、查看/ccetmp目录下文件，执行ls /ccetmp，预期结果如下: plaintext test.log 退出“远程登录”，对上一步中的Pod执行“销毁重建”，等待Pod重新运行正常； 对新建Pod，继续执行“远程登录”，进入到容器内查看数据。执行cat /ccetmp/test.log，预期结果如下： plaintext Hello World 以上步骤说明，pod删除重建后，重新挂载存储卷，数据仍然存在， 说明数据可持久化保存。

3 、创建工作负载 使用kubectl连接集群，创建示例yaml文件stsexample.yaml： plaintext apiVersion: "apps/v1" kind: "StatefulSet" metadata: name: "nastest" namespace: "default" spec: podManagementPolicy: "OrderedReady" replicas: 1 revisionHistoryLimit: 10 template: spec: containers: image: "nginx:1.25alpine" imagePullPolicy: "IfNotPresent" name: "container1" resources: limits: cpu: "100m" memory: "256Mi" requests: cpu: "100m" memory: "256Mi" terminationMessagePath: "/dev/terminationlog" terminationMessagePolicy: "File" volumeMounts: mountPath: "/tmp" name: "volume1" subPath: "ccetest" dnsPolicy: "ClusterFirst" restartPolicy: "Always" schedulerName: "defaultscheduler" securityContext: {} terminationGracePeriodSeconds: 30 volumes: name: "volume1" persistentVolumeClaim: claimName: "cstorpvcnas" updateStrategy: rollingUpdate: partition: 0 type: "RollingUpdate" 执行以下命令，创建StatefulSet plaintext kubectl apply f stsexample.yaml 查看创建的有状态负载： 登录“云容器引擎”管理控制台； 在集群列表页点击进入指定集群； 进入主菜单“工作负载”——“有状态”，在列表查看。 验证数据持久化 登录“云容器引擎”管理控制台； 在集群列表页点击进入指定集群； 进入主菜单“工作负载”——“有状态”，进入负载详情； 在Pod列表页，选择“远程登录”，进入到容器内执行以下命令： 1、向/ccetmp 目录下写一个文件，执行echo "Hello World" > /ccetmp/test.log 2、查看/ccetmp目录下文件，执行ls /ccetmp，预期结果如下: plaintext test.log 退出“远程登录”，对上一步中的Pod执行“销毁重建”，等待Pod重新运行正常； 对新建Pod，继续执行“远程登录”，进入到容器内查看数据。执行cat /ccetmp/test.log，预期结果如下： plaintext Hello World 以上步骤说明，pod删除重建后，重新挂载存储卷，数据仍然存在，说明弹性文件中的数据可持久化保存。

Windows云主机内无法通过WinSCP连接linux云主机,通过xshell可以访问linux云主机。 前提条件 Windows云主机内已下载并安装 WinSCP 客户端（建议从官方网站获取最新版本），默认使用的端口号是22，请确保双方云主机的22端口开放，连接Linux云主机的文件协议选SFTP或SCP。 故障描述 通过Windows云主机内的WinSCP连接Linux云主机失败，报错如图1。 图1 通过winscp连接linux云主机报异常 故障排查 WinSCP是通过SFTP协议进行的主机连接，所以需要判断Linux云主机内的SSH配置文件中是否有sftp相关的配置，查看 /etc/ssh/sshdconfig中关于sftp的配置描述。 图2 检查linux云主机sshd是否开启sftp相关配置 上图2说明SFTP关联的配置文件是/usr/libexec/openssh/sftpserver，如果此文件缺失或者权限不对将会导致WinSCP连接异常，此文件默认权限是755。 解决步骤 如果是sftpserver文件缺失，可以从其他云主机拷贝一份到故障云主机的对应目录下。 如果是权限问题，通过chmod命令修改文件权限。命令如下。 chmod 755 R /usr/libexec/openssh/sftpserver