本例我们以Windows Server 2012数据中心版为例。 操作步骤 1. 与本地主机操作一致，首先通过VNC或其余远程登录方式登录轻量型云主机。 2. 右键单击桌面，选择屏幕分辨率，在弹出页面，选择合适的分辨率，点击确定、应用即可。

本文介绍了云防火墙(原生版)产品入侵防御的防护配置功能。 云防火墙（原生版）的入侵防御功能支持防护网络攻击，可以实时检测并拦截恶意端口扫描、暴力破解、远程代码执行、漏洞利用等云上常见等网络攻击，避免服务器被挖矿或勒索。 防护配置 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“入侵防御 > 防护配置”。 3. 在页面上方切换云防火墙实例。 4. 配置防护模式。 观察模式：针对攻击行为仅记录及告警，不拦截。 拦截模式：自动拦截攻击行为，并记录且告警。 5. 高级设置。 虚拟补丁：针对可被远程利用的高危漏洞，应急漏洞，在网络层提供热补丁，实时拦截漏洞攻击行为，避免修复主机漏洞时对业务产生的中断影响。 DDoS防护：针对常见DDoS攻击进行实时自动防御。 病毒防护：通过病毒特征检测来识别病毒文件并产生日志。 6. 创建白名单。 说明 部分实例不支持使用白名单功能。 参数名称 参数说明 名称 自定义名单名称。名称长度不能超过100个字符。 IP版本 支持IPv4、IPv6。 源IP地址 根据所选IP版本，输入对应的IP地址或使用已添加的地址簿： 输入IP：使用“/”隔开掩码。 注意 添加出向规则时，源IP地址配置请配置弹性IP所绑定的内网IP，切勿直接配置弹性IP地址，否则规则无法正常生效。 地址簿选择：通过下拉框选择已添加的IP地址簿，添加IP地址簿请参见[添加IP地址簿](

其他云数据库的配置流程 申请公网IP并绑定到数据库实例 不同云厂商的数据库实例对应方法不同，具体操作步骤可参考具体云官网资料进行设置。 VPC网络安全策略放通 需要在其他云数据库实例所在的VPC放通以上【DTS实例的配置流程】中配置的公网IP的访问权限，一般包括网络ACL和实例安全组，具体可参考各厂商云数据库官方文档进行操作。 数据库添加白名单 数据库需要添加【DTS实例的配置流程】中配置的公网IP远程访问数据库的权限。不同类型的数据库添加白名单的方法可能不一样，具体可参考各数据库官方文档进行操作。

云下一代防火墙实例订购需提供设备序列号S/N(即序列号),设备初始化登录成功后可进行查询。本小节介绍云下一代防火墙查询序列号方法。 1.在云主机控制台选择远程登录，输入默认用户名密码后，按照要求进行密码修改。 2.命令行输入以下命令进行配置查询show version。 3.查询完成后，记录S/N号(即序列号)，稍后订购实例时进行提供。

云点播转码能判断moov box位置吗? 云点播转码能判断moov box位置吗？ 如果MP4视频的meta信息存储在视频文件尾部，那么浏览器通过网络传输协议加载远程资源服务器视频流时，浏览器不能迅速得到视频meta信息（全局信息），这会导致浏览器不能很好的对视频进行预加载处理，所以就会出现拖拽访问卡顿的问题。 解决办法是在生成目标视频时，将metadata信息（moov）提前至视频第一帧的前面。 云点播在转码后默认会将moov box放置在mp4文件头部，不支持自定义配置。

本文介绍防火墙实践内容。 当您完成防火墙的购买和防护开通后，可以根据您的需要进行一系列常用实践，防火墙常用实践如下表。 C100型实例实践 实践 描述 云防火墙最佳实践 介绍如何选择最适宜用户使用场景和带宽的防火墙规格，以及介绍如何启用防护配置策略，配置防护规则，适用于初次使用防火墙，不知道如何选择适宜自己场景的防火墙规格以及不知道如何启用防火墙产品的用户及场景。 配置访问控制策略最佳实践 介绍如何进行访问控制策略配置，在日常生产场景中，常用哪些访问控制策略应该需要配置，适用于安全应用了解较少，需要进行标准化策略防护的用户及场景。 N100型实例实践 实践 描述 双向访问控制 防火墙作为云计算环境的边界网络安全，符合等级保护要求条例中边界安全访问控制要求项，能够实现内外网访问控制隔离等要求。 SSL VPN远程拨入 用户存在远程拨入运维请求，但未购买天翼云平台SSL VPN服务，可使用防火墙SSL VPN服务，该服务需单独配置。

前提条件 已购买标准版及以上版本堡垒机，并已完成堡垒机配置。 安全区域边界：安全审计 等保条例：应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计； 本条款主要考察：是否有进行安全审计。云堡垒机支持对云服务器运维操作进行监控和审计。 使用有审计模块权限的账号登录云堡垒机，单击“审计 > 历史会话审计”，进入“历史会话”页面。 在历史会话页面可分别查看资源会话信息、系统会话信息、运维操作记录、文件传输记录、会话协同记录等。 等保条例：审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息； 本条款主要考察：日志是否按照要求进行记录。 使用管理员账号登录云堡垒机，单击“审计 > 历史会话审计”，进入“历史会话”页面。 主要包含资源名称、类型、主机IP、资源账户、起止时间、会话时长、会话大小、操作用户、操作用户来源IP、操作用户来源MAC、登录方式、运维记录、文件传输记录、会话协同记录等信息。 等保条例：应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等； 使用管理员账号登录云堡垒机，单击“系统 > 数据维护”，单击“日志备份”，进入“日志备份”页面。 在“日志备份”页面，可以创建、查看日志备份，支持系统登录日志、资源登录日志、命令操作日志、文件操作日志、双人授权日志。也支持备份至Syslog服务器、FTP/SFTP服务器和OBS桶。 等保条例：应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析； 本条款主要考察：是否能够对远程访问的用户行为进行审计与数据分析。

本节主要介绍产品咨询类相关问题。 云存储网关是否支持同传统 SAN 存储产品之间的数据迁移？ 支持。可以通过虚拟化平台完成云存储网关和其他 SAN 产品之间的数据迁移。对于非虚拟化场景，比如数据库，可以采用专门的数据迁移工具进行 SAN 与云存储网关之间的数据迁移。此外，Linux 的内核模块dmclone，可以用于实时克隆块设备，将数据从原有的 LUN 切到新的 LUN，实现原有 SAN 存储到云存储网关的数据迁移。Windows 操作系统可以使用用户状态迁移工具实现数据迁移。 什么是云存储网关？ 云存储网关是中国电信天翼云自主研发的一款可在线下和云上部署的网关软件，方便用户将本地数据轻松上传到天翼云对象存储（经典版）I型（ObjectOriented Storage，OOS），实现存储空间弹性扩展。云存储网关作为本地与云端存储之间的桥梁，通过标准 iSCSI 协议（Internet小型计算机系统接口）提供块存储服务，帮助用户将全量数据自动同步到OOS，本地仅保留热数据以节省本地存储空间，或者保留全量数据以保障本地I/O性能，实现混合云存储。同时，云存储网关也可以将通用服务器及其管理的存储资源转换成高性能的虚拟存储阵列，承载企业核心业务数据。

本文介绍什么是RBI云端浏览器。 什么是远程浏览器隔离（RBI） Web浏览器是整个网络环境中最广泛应用的软件之一，因浏览器漏洞导致的网络安全事件层出不穷，同时浏览器漏洞的存在是难免的，往往是通过事后修补都方式，都依赖人员意识。远程浏览器隔离（RBI）主要解决Web浏览器访问问题，它可以在云服务器上加载网页并执行相关代码，远离用户的本地设备以及企业的内部网络。在结束网页浏览后会删除用户浏览会话记录，因此，与会话相关的恶意 cookie 或下载内容都会被清除。 RBI云端浏览器 RBI云端浏览器是基于零信任网络+远程浏览器隔离技术，以“不让数据流出去、不让坏数据流进来”为宗旨，通过隔离浏览环境进行数据隔离、运行隔离，限制员工行为，保障员工终端安全，敏感数据不落地，提供全流程的行为审计，保证恶意行为证据可追溯。 当用户使用浏览器访问网页时，Web隔离系统利用RBI技术，将网页内容加载到远端浏览器上，在远端的浏览器上执行渲染后，将渲染的结果以图像的方式传到用户端浏览器上显示。 可管控限制用户在浏览器内执行有风险的操作，包括限制下载、上传、复制粘贴、键盘输入和打印功能。 零信任可安全连通内网进行身份认证、权限管控，提供完整链路访问。

本小节介绍终端安全EDR客户端安装方法。 1.通过远程登录进入业务云主机，使用终端安全EDR内网地址，该界面登录如下图，点击客户端下载安装。 2.根据安装提示，完成客户端安装。

步骤七：验证连通性 1. 登录天翼云控制台，选择“计算>弹性云主机”。 2. 进入弹性云主机控制台，选择准备工作中创建的不带弹性IP的弹性云主机，点击右侧“远程登录”登录弹性云主机。 3. 登录完成，通过ping外网地址，例如ctyun.cn，测试云主机是否能够通过NAT网关访问公网。 可以ping通，说明网络连通。 4. 执行curl 5. 经测试，该IP地址即为SNAT IP地址池中随机的EIP。

本章介绍如何修改SQL Server数据库实例的参数组。 最佳实践概述 场景描述 概述：SQL Server是老牌商用级数据库，成熟的企业级架构，轻松应对各种复杂环境。一站式部署、保障关键运维服务，大量降低人力成本。根据华为国际化安全标准，打造安全稳定的数据库运行环境。被广泛应用于政府、金融、医疗、教育和游戏等领域。 典型行业：互联网企业、政府、医疗、金融 适配场景：企业级架构 方案优势 高安全性 弹性扩容 高可靠性 前提条件 需搭配开通ECS等产品 资源规划 网络资源规划 资源类型 配置项 配置明细 说明 :::: 区域 区域 西安2 本最佳实践全部资源部署在西安2资源池 专有网络VPC 状态 新购 云上选择专有网络（VPC）以保障安全性。 选择离原系统公网 IP 近的云上区域减少网络延迟。 选择资源丰富、离用户近的区域保障项目顺利实施。 网络规划留足可用 IP 数即可。 专有网络VPC VPC名 vpcvsfl 云上选择专有网络（VPC）以保障安全性。 选择离原系统公网 IP 近的云上区域减少网络延迟。 选择资源丰富、离用户近的区域保障项目顺利实施。 网络规划留足可用 IP 数即可。 专有网络VPC 网段 192.168.0.0/16 云上选择专有网络（VPC）以保障安全性。 选择离原系统公网 IP 近的云上区域减少网络延迟。 选择资源丰富、离用户近的区域保障项目顺利实施。 网络规划留足可用 IP 数即可。 弹性计算资源规划 资源类型 配置项 配置明细 说明 :::: ECS ECS名称 ecsbendi 自定义，易理解可识别 ECS 规格 通用计算增强型 c3.large.2 2vCPUs 4GiB 本示例中选择的规格。实际选择的规格需要结合业务场景选择，请参考弹性云服务器的实例规格。 ECS 操作系统 Windows 2016 ECS 系统盘 通用型SSD 40GiB 数据库资源规划 资源类型 配置项 配置明细 说明 :::: RDS RDS实例名 rds8c73 自定义，易理解可识别 RDS 数据库版本 SQL Server 2012标准版 本示例中为单机。实际使用时，为提升业务可靠性，推荐选择主备RDS实例。 RDS 实例类型 单机 RDS 存储类型 SSD RDS 可用区 可用区1 本示例中未单机，实际业务场景推荐选择主备RDS实例，此时建议将两个实例创建在不同的可用区，提升业务可靠性。 RDS 规格 2 vCPUs 4 GB

翼共享 翼共享是一款针对天翼AI云电脑（政企版）打造的企业级文件共享解决方案。通过AI云电脑挂载访问，支持实时读写，性能体验趋近于数据盘，传输速度更快。详情可查看翼共享帮助指导。 数据安全：文件数据不出AI云电脑，并支持通过翼加密实现文件加密保护。用户操作留存日志审计。 读写速率：采用NAS共享文件系统，支持文件实时读写，性能体验趋近于数据盘。 权限配置：支持按部门/用户配置读写权限，并支持自定义企业/个人空间容量分配。 翼察 翼察（AI云电脑安全办公平台）是基于AI云电脑办公场景探索而得的政企一体化安全办公解决方案。为政企办公场景提供身份、终端、网络、应用、数据五位一体的可信防护。 终端管理：以终端管理为核心，为政企客户提供终端多位一体、统一管理的安全解决方案。 远程接入：以用户身份为核心的远程安全接入，帮助客户快速接入内网访问，有效保护政企内部数据资产。 安全办公：整合终端管理、远程接入等技术，帮助用户构建全面覆盖、动态可信的办公一体化防御体系。

服务器上的ICAgent被卸载后，会影响该服务器的日志采集能力，请谨慎操作！ 说明 卸载ICAgent不会删除对应的安装文件，请您根据实际情况自行删除。 卸载方式，您可以按照需要进行选择： 通过界面卸载：此操作适用于正常安装ICAgent后需卸载的场景。 登录服务器卸载：此操作适用于未成功安装ICAgent需卸载重装的场景。 远程卸载：此操作适用于正常安装ICAgent后需远程卸载的场景。 批量卸载：此操作适用于正常安装ICAgent后需批量卸载的场景。 通过界面卸载 1. 在云日志服务管理控制台，单击“主机管理”，进入主机管理页面。 2. 单击“主机”切换至主机页签。 3. 勾选一个或多个待卸载ICAgent的服务器的复选框，单击“卸载ICAgent”。 4. 在“卸载ICAgent”对话框中单击“确定”。 ICAgent开始卸载，卸载ICAgent预计需要1分钟左右，请耐心等待。 卸载完成后主机列表中将不会显示该ICAgent。 说明 通过界面卸载ICAgent后如果需要再次安装，请等待5分钟后执行安装操作，否则可能出现被再次自动卸载的情况。 登录服务器卸载 1. 以root用户登录需卸载ICAgent的服务器。 2. 执行如下命令卸载ICAgent。 bash /opt/oss/servicemgr/ICAgent/bin/manual/uninstall.sh; 当显示“ICAgent uninstall success”时，表示卸载成功。 远程卸载 除了上述登录服务器上执行uninstall.sh命令卸载ICAgent的方式，还可以对服务器进行远程卸载。 1. 在已安装ICAgent的服务器上执行如下命令，其中x.x.x.x表示待卸载ICAgent的服务器的IP地址。 bash /opt/oss/servicemgr/ICAgent/bin/remoteUninstall/remoteuninstall.sh ip x.x.x.x 2. 根据提示输入待卸载ICAgent的服务器root用户密码。 说明 如果已安装ICAgent的服务器安装过expect工具，执行上述命令后，即可完成卸载。如果已安装ICAgent的服务器未安装expect工具，请根据提示输入密码，进行卸载。 请确保已安装ICAgent的服务器可以使用root用户执行SSH、SCP命令，来与待卸载ICAgent的服务器进行远端通信。 当显示“ICAgent uninstall success”时，表示卸载成功。

首先确认云下一代防火墙所防护的业务是否正常，如果正常可以先排查一下云下一代防火墙管理EIP是否被解绑（解绑了会无法通过公网进行管理），是否调整了安全组限制了管理端口（安全组限制会导致公网机内网进行管理）。如果业务不正常，急需恢复业务，请将云主机的EIP从云下一代防火墙上解绑，绑至对应业务云主机上，让VPC南北向流量绕过云下一代防火墙，进行业务的恢复（如果此时业务云主机修改了网关为云下一代防火墙的地址，那么请修改VPC内所有业务云主机的网关为默认网关，网关还请参照虚拟私有云（VPC）内的子网信息）。 其次，天翼云控制台云主机列表找到云下一代防火墙主机，进行远程登录，看是否能打开正常运行，查看配置是否正常。 最后，如果依旧存在问题，请联系客服。

Ubuntu操作系统进入单用户模式 本示例将会对一台操作系统为Ubuntu18.04 64位镜像的弹性云主机实例进行单用户模式进入操作。 1. 登录控制中心。 2. 选择区域华东华东1。 3. 单击“计算>弹性云主机”，进入弹性云主机页面。 4. 单击待操作的弹性云主机行的“操作>远程登录”按钮，远程连接弹性云主机实例。 5. 输入用户名root，密码为购买弹性云主机时用户自定义的密码，登录成功之后如图： 6. 输入重启命令reboot，并在重启过程中按shift键，进入GRUB界面，GRUB界面示例如下。 7. 使用键盘方向键，向下移动选择GRUB页面第二行的高级选项，并按下键盘的enter键。 8. 接下来选择新页面中第二行的恢复模式（recovery mode），并按e键编辑启动项。 9. 进入编辑页面，使用键盘的方向键，移动光标向下至linux命令开头的一行，并在本行中将ro至末尾的内容删除并替换为rw single init/bin/bash。具体的修改信息如下图： 10. 截至目前，进入单用户模式的配置已经基本完成，现在需要用户按下键盘的ctrl+x组合键或按F10键，系统会直接进入单用户模式。输入passwd命令重置系统密码，密码输入完成还需要进行密码的二次输入进行确认。示例如图所示。 至此，一台操作系统为Ubuntu18.04 64位的弹性云主机实例就进入到了单用户模式。

p0f4c531bb122a8f0)。 网络服务办公组网平台授权服务费 根据购买的功能进行计费 详见零信任网络服务计费概述。 使用场景和订购推荐 使用场景 推荐订购 备注 网络服务办公组网（POP模式） 订购网络服务办公组网分区域带宽 模式说明 在全球或区域范围内设置多个 POP 点，企业分支机构先连接到就近的 POP 点，POP 点之间通过专线骨干网互联，然后再通过 POP 点连接到企业总部、数据中心或云资源等。 适用场景 适用于分支众多、有跨省或跨国业务的中大型企业，尤其是对网络性能、安全和管理效率要求较高，需要频繁访问云资源或与多个分支机构进行数据交互的企业。 网络服务办公组网（直连模式） 订购平台授权服务费 模式说明 远程办公地点或分支机构直接通过 AOne加密方式通过互联网直接连接到企业总部网络，没有中间的 POP 点作为中转，是一种点到点的直接连接方式。 适用场景 更适合规模较小、分支机构或远程办公点数量较少，网络需求相对简单，主要是实现与企业总部的直接通信和资源共享，对网络成本较为敏感的企业或组织。 网络服务办公组网（混合模式） 同时订购办公组网分区域带宽和平台授权服务费 适用于灵活调配的企业组网场景。 订购示例

本节介绍了本地Windows主机使用FTP上传文件到Windows/Linux云主机的操作场景、前提条件、操作步骤。 操作场景 本节操作介绍如何在Windows操作系统的本地主机上使用FTP上传文件到云主机。 前提条件 已在待上传文件的云主机中搭建 FTP 服务。 操作步骤 1. 在Windows本地主机上安装FileZilla。下载FileZilla。 2. 在Windows本地主机打开 FileZilla，填写待连接的云主机信息，单击“快速连接”。 − 主机：云主机的弹性公网IP。 − 用户名：搭建FTP时设置的用户名。 − 密码：搭建FTP时设置的用户对应的密码。 − 端口：FTP链接端口，默认使用21端口。 图 连接云主机 3. 您可以选择左侧本地计算机的文件，拖拽到右侧的远程云主机，完成文件上传到云主机。

本文介绍Windows系统云主机如何自查病毒及中病毒后处理建议 一，排查思路 1. 排查系统运行情况 结合用户反映的故障现象，排查相关进程（例如，故障现象为资源占用率高，则排查占用资源较多的进程；故障现象为网络带宽占用较多，则排查网络连接较多的进程）。重点排查进程所关联的文件、启动进程的账户等信息。 2. 排查系统运行环境 通过排查系统启动项、计划任务、系统服务启动等情况，排查可疑程序自动拉起的信息，为阻止恶意程序自运行提供依据。 3. 排查攻击来源 查看登录记录，排查是否存在远程暴力破解行为、是否有不明IP登录系统，系统内是否出现不明账户 二，常见安全入侵排查 (一)挖矿病毒 1. 故障现象 CPU占用率接近100%。 2. 排查思路 确认占用CPU资源的进程，分析该进程对应的程序，查找可疑文件，并根据文件内容确认是否为挖矿程序。 3. 排查过程 在任务管理器中查看进程列表，确认占用CPU资源的主要进程。 查找该进程关联的程序。 xmrig是典型的门罗币挖矿程序，可通过其同目录下的“start.cmd”文件查看挖矿参数。其参数说明如下：o矿池地址和端口号；u账户地址；p密码。 4. 解决方法 停用恶意进程、删除恶意程序、检查自启动项目和计划任务、检查系统内可疑账户、为远程登录账户设置强口令、通过安全组对远程访问的IP地址进行限制。

本文介绍远程登录忘记密码怎么办 如忘记登录密码，可通过 “ 重置密码 ” 功能设置新密码。 您可以通过弹性云主机控制台重置密码，点击更多重置密码更改密码，使用新密码再进行登录。具体操作步骤如下： 1. 打开弹性云主机控制台页面。 2. 选择您需要重置密码的弹性云主机，点击“更多”按钮。 3. 在弹出的下拉菜单中，选择“重置密码”选项。 4. 在弹出的重置密码窗口中，您需要输入一个新的密码，并确认一遍输入正确的密码。请注意密码的规则为8～30 个字符，必须同时包含三项（大写字母、小写字母、数字、 ()~!@$%^&+{}[]:;'<>,.?/ 中的特殊符号）,且不能以斜线号（/）开头，不能包含连续字符。 5. 点击“确定”按钮，系统会提示您重置密码成功。 6. 使用新密码登录弹性云主机控制台，进行后续操作。 更多可以参考在控制台重置密码。

十五、 CCE启动实例失败时的重试机制是怎样的？ CCE是基于原生Kubernetes的云容器引擎服务，完全兼容Kubernetes社区原生版本，与社区最新版本保持紧密同步，完全兼容Kubernetes API和Kubectl。 在Kubernetes中，Pod的spec中包含一个restartPolicy字段，其取值包括：Always、OnFailure和Never，默认值为：Always。 Always：当容器失效时，由kubelet自动重启该容器。 OnFailure：当容器终止运行且退出不为0时（正常退出），由kubelet自动重启该容器。 Never：不论容器运行状态如何，kubelet都不会重启该容器。 restartPolicy适用于Pod中的所有容器。 restartPolicy仅针对同一节点上kubelet的容器重启动作。当Pod中的容器退出时，kubelet 会按指数回退方式计算重启的延迟（10s、20s、40s...），其最长延迟为5分钟。 一旦某容器执行了10分钟并且没有出现问题，kubelet对该容器的重启回退计时器执行重置操作。 每种控制器对Pod的重启策略要求如下： Replication Controller（RC）和DaemonSet：必须设置为Always，需要保证该容器的持续运行。 Job：OnFailure或Never，确保容器执行完成后不再重启。 十六、 CCE集群中工作负载镜像的拉取策略？ 容器在启动运行前，需要镜像。镜像的存储位置可能会在本地，也可能会在远程镜像仓库中。 Kubernetes配置文件中的imagePullPolicy属性是用于描述镜像的拉取策略的，如下： Always：总是拉取镜像。 imagePullPolicy: Always IfNotPresent：本地有则使用本地镜像，不拉取。 imagePullPolicy: IfNotPresent Never：只使用本地镜像，从不拉取，即使本地没有。 imagePullPolicy: Never 说明 1. 如果设置为Always ，则每次容器启动或者重启时，都会从远程仓库拉取镜像。 如果省略imagePullPolicy，策略默认为Always。 2. 如果设置为IfNotPreset，有下面两种情况： 当本地不存在所需的镜像时，会从远程仓库中拉取。 如果我们需要的镜像和本地镜像内容相同，只不过重新打了tag。此tag镜像本地不存在，而远程仓库存在此tag镜像。这种情况下，Kubernetes并不会拉取新的镜像。

数据集配置 针对不同场景下，以下是数据量级的建议： 简单文本分类任务：对于基础的分类任务，如判断文本情感倾向（积极、消极、中性）或对新闻文章进行简单类别划分（体育、科技、娱乐等），若用户使用较小规模模型（如 7B及以下），通常5k20k条的数据量即可取得不错效果；若使用更大参数模型（如30B及以上），由于模型学习能力更强，对数据量要求相对降低，2k10k条也可能实现较好微调。但数据量的大小也与分类数以及任务难易度强相关，类别较多/任务较难的场景可能需要20k条以上的数据，且要做到类别均衡。 信息抽取任务：像从文本中抽取人名、地名、组织机构名等实体，或抽取事件的时间、地点、参与者等关键信息这类任务，任务难易度更大，因此对数据量需求相对较高。若用户使用13B及以下模型时，建议有30k80k的数据量；若使用30B及以上模型时，20k60k的数据量较为合适。这是因为信息抽取任务复杂，模型需学习多种实体和关系模式，足够数据量才能让模型有效捕捉这些模式。例如，在医疗领域的实体抽取微调中，50k条的高质量医疗文本数据，能使13B模型的F1值达到75%左右。 生成任务（如文本续写、文案生成）：生成任务对模型创造力和语言理解能力要求高，数据量需求更大。对于7B及以下的模型，一般需要100k300k条以上数据；而13B30B的模型，50k 200k条数据较为适宜；30B以上模型，30k150k数据可能满足需求。数据不仅要量大，还应多样化，涵盖不同风格、主题和语境文本。如在小说续写微调中，200k条包含各种题材小说片段的数据，可让7B模型生成更连贯、富有想象力的续写内容。 复杂问答任务：如开放域问答、专业领域深度问答、领域内长思考链生成问答，数据量要求与生成任务相近甚至更高。7B的模型可能需要50k150k条数据；13B30B的模型，40k100k条数据；30B及以上的模型，则需要50k80k数据。这类任务需模型理解复杂问题语义，检索知识并生成准确回答，大量的数据帮助模型学习各类问题模式和答案逻辑。但是如果数据中带有思考推理过程，也即cot数据集，则各类模型所需的数据量可以相对应减少50%80%。在医疗领域的带思考过程的问答微调中，10k数量的含各类疾病的治疗方式的数据，便能让14B的模型在开源医疗问题测评集上提点。 需注意，以上数据量仅为经验参考范围，实际微调中最佳数据量受数据质量、模型架构、任务复杂度及训练方法等多种因素影响。例如，若数据质量极高且与任务高度相关，可能用较少数据量就能取得好效果。在微调前，可通过小规模实验评估不同数据量对模型性能影响，确定适合特定任务和模型的最优数据量。

数据集配置 针对不同场景下，以下是数据量级的建议： 简单文本分类任务：对于基础的分类任务，如判断文本情感倾向（积极、消极、中性）或对新闻文章进行简单类别划分（体育、科技、娱乐等），若用户使用较小规模模型（如 7B及以下），通常5k20k条的数据量即可取得不错效果；若使用更大参数模型（如30B及以上），由于模型学习能力更强，对数据量要求相对降低，2k10k条也可能实现较好微调。但数据量的大小也与分类数以及任务难易度强相关，类别较多/任务较难的场景可能需要20k条以上的数据，且要做到类别均衡。 信息抽取任务：像从文本中抽取人名、地名、组织机构名等实体，或抽取事件的时间、地点、参与者等关键信息这类任务，任务难易度更大，因此对数据量需求相对较高。若用户使用13B及以下模型时，建议有30k80k的数据量；若使用30B及以上模型时，20k60k的数据量较为合适。这是因为信息抽取任务复杂，模型需学习多种实体和关系模式，足够数据量才能让模型有效捕捉这些模式。例如，在医疗领域的实体抽取微调中，50k条的高质量医疗文本数据，能使13B模型的F1值达到75%左右。 生成任务（如文本续写、文案生成）：生成任务对模型创造力和语言理解能力要求高，数据量需求更大。对于7B及以下的模型，一般需要100k300k条以上数据；而13B30B的模型，50k 200k条数据较为适宜；30B以上模型，30k150k数据可能满足需求。数据不仅要量大，还应多样化，涵盖不同风格、主题和语境文本。如在小说续写微调中，200k条包含各种题材小说片段的数据，可让7B模型生成更连贯、富有想象力的续写内容。 复杂问答任务：如开放域问答、专业领域深度问答、领域内长思考链生成问答，数据量要求与生成任务相近甚至更高。7B的模型可能需要50k150k条数据；13B30B的模型，40k100k条数据；30B及以上的模型，则需要50k80k数据。这类任务需模型理解复杂问题语义，检索知识并生成准确回答，大量的数据帮助模型学习各类问题模式和答案逻辑。但是如果数据中带有思考推理过程，也即cot数据集，则各类模型所需的数据量可以相对应减少50%80%。在医疗领域的带思考过程的问答微调中，10k数量的含各类疾病的治疗方式的数据，便能让14B的模型在开源医疗问题测评集上提点。 需注意，以上数据量仅为经验参考范围，实际微调中最佳数据量受数据质量、模型架构、任务复杂度及训练方法等多种因素影响。例如，若数据质量极高且与任务高度相关，可能用较少数据量就能取得好效果。在微调前，可通过小规模实验评估不同数据量对模型性能影响，确定适合特定任务和模型的最优数据量。

工具名称 说明 获取方式 PuTTY 跨平台远程访问工具。用于在软件安装过程中在Windows系统上访问云主机。 WinSCP 跨平台文件传输工具。用于在Windows系统和Linux系统间传输文件。

本章节介绍的是电脑终端(新版)常见的使用问题。 1.计费 天翼AI云电脑是如何计费，如何开通？ 天翼AI云电脑（公众版）使用包年包月的计费方式，订购方式如下： 应用内订购：天翼AI云电脑App、天翼云App已提供“订购AI云电脑”服务。 天翼云官网订购：可在天翼云网门户产品“天翼AI云电脑（公众版）”产品详情页进行自助订购。 营业厅订购：请前往当地的电信营业厅咨询天翼AI云电脑产品订购相关内容。 天翼AI云电脑（政企版）使用包年包月的计费方式，开通方式如下： 方式一：通过“单实例”方式开通，选择开通参数后支付将立即开通天翼AI云电脑（政企版）。 方式二：通过“资源包”方式开通，先订购资源包，之后选择资源包开通天翼AI云电脑（政企版）。 说明：如有上网需要，需要单独开通上网带宽，绑定VPC、子网后使用。 天翼AI云电脑操作系统是否需要收费？ 无需额外收费，默认提供Windows Server 2008、Windows Server2016、Windows Server2019系统，均已正版激活。 天翼AI云电脑（政企版）使用的Linux系统（Ubuntu、Centos）也无需额外收费。 2.购买 是否需要自行购买瘦终端？ 是的，瘦终端设备需要自行购买，您可以查询++终端适配列表++获取天翼AI云电脑兼容终端型号。

本次我们以FileZilla为例演示上传文件，您可到FileZilla进行软件下载。 1. 首先需要在弹性云主机上搭建FTP站点。具体操作参见弹性云主机－搭建FTP。 2. 在Windows本地主机打开 FileZilla，填写待连接的云主机信息，单击“快速连接”。 主机：云主机的弹性公网IP。 用户名：搭建FTP时设置的用户名。 密码：搭建FTP时设置的用户对应的密码。 端口：FTP连接端口，默认使用21端口。 3. 您可以选择左侧本地计算机的文件，拖拽到右侧的远程云主机，完成文件上传到云主机。

此小节介绍云堡垒机应用场景。 任何企业都需要安全运维管理和审计，故任何企业都需要云堡垒机。云堡垒机能适用于各种企业运维场景，特别针对企业员工数量复杂、企业资产数量繁杂、人员运维权限交叉、企业运维方式多样等场景。 严要求的审计合规场景 例如保险和金融行业，具有大量个人信息数据和金融资金操作行为，以及大量第三方机构代为运作，可能存在巨大违规操作、滥用职权等非法运作风险。 通过在云上部署云堡垒机系统，单点登录入口，集中管理账户和资源，部门权限隔离，核心资产多人审核授权，敏感操作二次复核授权，健全的运维审计机制，能够为高风险行业提供严要求审计功能，满足行业监管要求。 高效稳定的运维场景 例如极速发展的互联网企业，大量经营数据等敏感信息，暴露在公网，且由于服务高度公开，存在高度数据泄露风险。 云堡垒机在远程运维过程中，隐藏资产真实地址，解决远程运维资产信息暴露问题。同时提供全面的运维日志，为审计运维和代运维人员的操作行为，提供有效监控，减少网上安全事故，助力企业长久稳定发展。 大量资产和人员管理场景 随着民生政务和传统企业集团的上云管理，云上人员账户数量不断增加，以及云上服务器、网络设备等资产数量也成倍增涨。同时很多企业为解决人力不足的问题选择把系统运维转交给系统供应商或第三方代维商进行，由于涉及提供商、代维商过多，人员复杂流动性又大，对操作行为缺少监控带来的风险日益凸显。 云堡垒机针对大量用户和大量资产，可海量容纳庞大人员和资源数据，运维人员单点登录，解决运维人员维护多台资产效率低，易出错的问题。同时通过制定细粒度权限控制，资源操作全程记录，可审计全量用户操作行为，并对事故问题进行有效追溯，确保有效定责。此外，系统桌面实时呈现运维全景，并可接收异常行为告警通知，确保人员无法越权操作。

通过MSTSC客户端登录云堡垒机 用户获取资源运维权限后，可通过MSTSC客户端直接登录进行运维操作。 1. 打开本地远程桌面连接（MSTSC）工具。 2. 在弹出的对话框中，“计算机”列，输入“堡垒机IP:53389”。 3. 单击“连接”，在登录页面完成登录。 username： 堡垒机用户登录名 @Windows 主机资源账户名 @Windows主机资源IP:Windows远程端口（默认 3389 ） ，例如admin@Administrator@192.168.1.1:3389。 说明 “Windows主机资源账户名”必须是已添加到堡垒机中的资源账户，否则无法识别Windows主机资源账户； password：输入当前堡垒机的用户密码。

等保合规场景 场景说明：业务系统需通过等级保护测评，存在账号权限混乱、操作无审计、数据未脱敏加密、缺乏安全管控等合规短板。 解决方案：建立统一运维权限与账号管控，实现全流程操作留痕，对敏感数据加密脱敏，持续监测安全风险。 推荐产品：云堡垒机、数据库审计、日志审计、数据分类分级 核心数据防护场景 场景说明：政务、医疗、金融、运营商等行业存有大量敏感与重要数据，面临泄露、篡改、越权访问、拖库等高风险。 解决方案：先做数据分类分级，再实施存储加密、动态脱敏，严格访问控制与操作阻断，支持泄露后水印溯源。 推荐产品：数据分类分级、数据加密、脱敏水印、数据库安全网关、数据安全运营中心 数据共享与开放场景 场景说明：跨部门、第三方合作、对外接口等数据共享场景，易发生敏感信息泄露、接口被爬取、越权调用等问题。 解决方案：API 全生命周期安全管理，传输中自动脱敏与水印嵌入，实施权限校验、流量限流与攻击防护。 推荐产品：API 安全网关、API 风险监测、数据脱敏水印、数据库审计 数据库运维安全场景 场景说明：内部与第三方运维人员直接访问生产库，存在越权查询、高危 SQL、批量导出、账号密码泄露等风险。 解决方案：统一运维入口，执行权限最小化与多级审批，阻断高危操作，全程录像审计并可回溯追责。 推荐产品：云堡垒机、数据库安全网关、数据库审计

操作场景 本节操作介绍在Windows和Linux环境中使用SSH密钥对方式远程登录Linux云主机的操作步骤。 使用SSH密钥对登录，无需输入密码。该方式可以提供更高的安全性和便利性。 前提条件 Linux云主机状态处于“运行中”。 Linux 操作系统首次登录的用户名一般可以设置为 root 或 ecsuser，出于安全考虑，推荐您使用ecsuser，CoreOS的默认用户名为“core”。 您已经获得用于创建Linux云主机时所使用的密钥对文件，该文件为私钥。 Linux云主机所在安全组的入方向已开放22端口。 Linux云主机防火墙未开启或开启后放通22端口。 您所使用的SSH登录工具（例如PuTTY）已经正确配置，并且与Linux云主机具有网络连通性。如果使用处于公网中的终端登录，需要您的Linux云主机已绑定弹性IP。如果通过内网使用此方式登录，则不需要绑定弹性IP，例如VPN、云专线等内网网络连通场景。 说明 出于安全考虑，通常会修改Linux远程登录端口。如果您需要修改默认登录端口，请参考 本地使用Windows操作系统 在本地使用Windows操作系统登录Linux云主机，您可以按照以下方式使用PuTTY进行登录。 方式一：使用PuTTY登录 我们以PuTTY为例介绍如何登录Linux云主机。在使用PuTTY登录Linux云主机之前，需要将私钥文件转换为.ppk格式。 1. 检查私钥文件是否已经是.ppk格式。 如果是.ppk格式，请执行步骤7。 如果不是.ppk格式，请执行步骤2。 2. 您可通过官方途径下载PuTTY和PuTTYgen。 说明 PuTTYgen是密钥生成器，用于创建密钥对并生成一对公钥和私钥供PuTTY使用。 3. 运行PuTTYgen。 4. 在“Actions”区域，单击“Load”， 导入您在创建Linux云主机时保存的私钥文件。请注意，在导入时确保选择了"All files (.)"格式。 5. 单击“Save private key”。 6. 将转换后的私钥保存到本地，例如：kp101.ppk。 7. 双击“PUTTY.EXE”，打开“PuTTY Configuration”。 8. 在"Session"中，输入Linux云主机的弹性IP地址到"Host Name (or IP address)"输入框中。 9. 在"Connection”>“Data"中，输入镜像的用户名到"Autologin username"处。 10. 在"Connection > SSH > Auth"中的"Private key file for authentication"配置项下，单击"Browse"，选择转换后的密钥文件。 11. 单击“Open”，登录Linux云主机。

约束限制 目前仅X86版本云堡垒机支持应用运维，ARM版本云堡垒机不支持应用运维。 应用运维仅支持通过Web浏览器方式登录进行运维。 支持复制/粘贴大量字符不乱码，本地到远端最多8万字符，远端到本地最多100万字节。 文件管理 不支持批量编辑文件或文件夹。 文件传输 系统默认支持上传最大100G的单个文件，但实际上传单个文件大小，受“个人网盘空间”大小和使用浏览器限制。 不支持下载文件夹。 应用运维的目标地址只有“主机网盘”。 前提条件 已获取“应用运维”模块管理权限。 已获取资源控制权限，即已被关联访问控制策略或提交的访问授权工单已审批通过。 应用发布服务器网络连接正常，且资源账户登录帐号和密码无误。 操作步骤 1 登录云堡垒机系统。 2 选择“运维>应用运维”，进入应用运维列表页面。 3 单击“登录”，登录会话进行操作。 会话操作说明 参数 说明 :: 复制/粘贴 远程文本：选中字符， 需按两次“Ctrl+C”复制按“Ctrl+V”粘贴。 远程机器文件：选中文本或图像，“Ctrl+B”复制，“Ctrl+G”粘贴。 说明：Web浏览器运维支持复制/粘贴大量字符不乱码，本地到远端最多8万字符，远端到本地最多100万字节。 分辨率 可切换当前操作界面分辨率，切换途中会重新创建连接。 切换鼠标 可分别切换为本地鼠标和远程鼠标。 Windows键 适用于Win快捷键操作。 锁屏键 “Ctrl+Alt+Delete” 复制窗口 可复制当前会话窗口。 全屏 可开启窗口全屏。 4 协同分享，可邀请同事参与此会话，一同进行操作。 单击“协同分享”，展开协同会话界面。 邀请同事参与会话，单击“邀请好友进入此会话”，弹出邀请链接窗口。 邀请协同会话 此链接可复制发送给多人。 复制链接，发送给拥有云堡垒机帐户权限的用户。 受邀用户登录云堡垒机，打开新的浏览器窗口，粘贴链接。 协同会话信息 单击“立即进入”参与会话操作。 会话操作管理说明 参数 说明 :: 申请控制权 可以向会话邀请者发申请控制权，邀请者同意后，可以操作此会话。 退出会话 退出此会话。 5 通过文件传输，可对主机网盘中文件进行上传或下载，详细说明请参见10.1.7文件传输。 单击“文件传输”，对系统个人网盘文件或文件夹进行管理。 6 通过文件管理，可对主机网盘中文件或文件夹进行管理。 单击“文件传输”，展开文件传输界面。 单击可以新建文件夹。 勾选一个或多个文件或文件夹，单击删除图标，可删除文件或文件夹。 勾选一个文件或文件夹，单击编辑图标，可修改文件或文件夹名称。 单击刷新图标，可刷新全部文件目录。

本节介绍云等保专区产品的主机安全配置类问题。 如何在服务器上开启主机安全防护？ 1. 用户登录云等保专区控制平台，进入到主机安全原子能力，在左侧导航栏选择“系统管理 > 部署管理”，选择“添加终端”页签，进入添加终端页面。 在Windows系统区域进行Windows系统资产的离线安装及在线安装Agent。 在Linux系统区域进行Linux系统资产的离线安装及在线安装Agent。 2. 资产风险排查。用户可以对资产进行病毒查杀、木马查杀、漏洞管理等操作，在导航栏选择“终端管理 > 终端概况”进入终端概况页面，选择需要查看的主机资产，点击资产名称。 3. 进入资产指纹页面，即可查看该主机资产的详细信息，并可进行远程重启主机、关闭主机及修改远程端口操作。 4. 编辑安全策略，EDR支持以模板形式配置主机策略，包括基础信息、系统防护、网络防护、渗透追踪、网页防篡改、Web应用防护、信任名单、桌面管控。 5. 查看日志，用户可以查看相关的防护、操作、运维类日志。 展开查询条件： 日志列表：