线程分析功能通过按线程级别统计CPU耗时以及各类线程的数量分布，提供细粒度的性能洞察。周期性地（每5分钟）采集并整合线程的方法栈信息，能够有效还原真实的代码执行路径。开发者可高效识别并解决与线程相关的性能瓶颈。适用于当集群出现CPU利用率异常升高或检测到大量慢方法执行时，用于精准定位消耗CPU资源最多的线程或具体方法。 功能入口 1. 进入应用性能监控控制台。 2. 选择目标应用，进入应用监控详情页。 3. 在顶部导航栏中选择【应用诊断】【线程分析】。 进行线程分析 进入线程分析页面后，左侧列表展示应用的全部线程，可基于CPU耗时统计快速发现异常线程。选中指定异常线程后，右侧的CPU耗时和线程状态统计图可对CPU耗时与线程数变化进行分析，如分析每分钟的线程总数是否过多。 通过单击异常线程的方法栈，可查看指定时间范围内的真实运行方法栈，例如通过分析处于BLOCKED状态的线程所关联的方法，可以有针对性地重构相关代码区域，降低CPU使用率。

应用性能监控APM探针在应用运行时进行字节码增强，实现应用性能管理能力。与其他通过字节码增强技术实现的性能管理方案一样，APM探针会带来一定的应用性能开销，您可以参考本篇分析报告，在接入ARMS应用监控前，基于性能影响进行充分的评估。 测试用例 机器类型: CTyunOS V4.0 25.07 64 位,2C4G 测试时长：10分钟 jvm参数：Xms3500m Xmx3500m XX:MetaspaceSize500m 测试场景：整体架构如下图所示 Java应用基于Spring MVC框架编写，包含 Spring Boot、Spring MVC，Jedis，HikariCP 连接池，每次请求产生5个span（1个 Tomcat 调用、1个 Spring MVC 框架调用、2个 Redis 请求和1个 MySQL 请求），每次请求会随机sleep 2040ms。 基线性能 在不接入 APM 的情况下，性能表现如下： 业务流量（TPS） CPU 利用率 内存利用率 平均响应时间（ms） 500 9.5% 79% 30 1000 15.5% 79% 30 2000 26.5% 80.15% 30 安装探针后的性能指标 应用接入 APM 后，性能表现如下： 业务流量（TPS） CPU 利用率 内存利用率 平均响应时间（ms） 500 25.3% 82% 31 1000 40.1% 82.2% 31.1 2000 66.5% 83.4% 31.2

3、配置全局策略 1. 在全局配置 页面，按需添加保护策略 和监控指标。 2. 配置完成后，单击完成 按钮，创建演练任务。 4、发起故障注入 1. 发起演练 ：在演练管理 列表找到对应演练任务，单击操作列的执行演练， 在新页面中点击发起新演练。 2. 进入实验 ：系统将自动跳转到本次演练的运行详情 页，或在演练执行记录 列表点击对应执行实例的详情进入。 3. 注入故障 ：在动作组 中，找到内存高负载动作卡片，单击执行。 4. 查看日志 ：单击动作卡片本身，在右侧弹出的侧边栏中查看执行详情。 效果验证 在故障注入期间，您可以通过以下方式验证演练效果： 1、观测实例指标： 登录弹性云主机 控制台，进入目标实例的监控指标页，观测内存使用率指标。 2、业务应用验证： 观察业务应用响应是否变慢，这可能是由于系统开始使用交换空间（Swap）所致。 检查系统日志，确认是否有OOM Killer相关的日志输出，以及哪个进程被“杀死”。

3、配置全局策略 1. 在全局配置 页面，按需添加保护策略 和监控指标。 2. 配置完成后，单击完成 按钮，创建演练任务。 4、发起故障注入 1. 发起演练 ：在演练管理 列表找到对应演练任务，单击操作列的执行演练， 在新页面中点击发起新演练。 2. 进入实验 ：系统将自动跳转到本次演练的运行详情 页，或在演练执行记录 列表点击对应执行实例的详情进入。 3. 注入故障 ：在动作组 中，找到内存高负载动作卡片，单击执行。 4. 查看日志 ：单击动作卡片本身，在右侧弹出的侧边栏中查看执行详情。 效果验证 在故障注入期间，您可以通过以下方式验证演练效果： 1、观测实例指标： 登录弹性云主机 控制台，进入目标实例的监控指标页，观测内存使用率指标。 2、业务应用验证： 观察业务应用响应是否变慢，这可能是由于系统开始使用交换空间（Swap）所致。 检查系统日志，确认是否有OOM Killer相关的日志输出，以及哪个进程被“杀死”。

本文将为您介绍分布式消息服务RocketMQ入门的基本流程，主要包括控制台创建RocketMQ专享版实例、使用弹性云服务器连接实例的操作，帮助您快速上手RocketMQ。 操作流程 图1 RocketMQ使用流程 环境准备 RocketMQ实例运行于虚拟私有云中，在创建实例前需要确保有可用的虚拟私有云。 创建RocketMQ实例 在创建实例时，您可以根据需求选择需要的实例规格和数量，并开启SSL访问。开启SSL后，数据加密传输，安全性更高。 创建Topic 在实例创建成功后，您需要创建Topic，用于发送与接收消息。 连接RocketMQ实例 使用客户端连接实例，并通过命令行生产消费消息。 配置告警 配置RocketMQ实例监控告警策略，监控实际业务运行状态。

本节介绍智算套件产品优势。 高效管理 控制面全托管，统一纳管GPU、NPU、RDMA等异构智算资源，提供完善的监控、运维能力，解决企业在异构算力管理、资源效率、成本控制等方面的核心痛点。 智能调度 支持共享GPU、算力切分、拓扑感知、故障感知、优先级等调度策略，满足不同场景下客户对算力的细粒度把控。 断点续训 CheckPoint 秒级读写，主动感知故障事件和潜在风险，自动重调度和优雅容错，解决传统系统 “故障恢复慢、数据易丢失、人工干预成本高” 的痛点。 弹性伸缩 工作节点弹性伸缩，支持集群HPA与VPA，轻松应对业务负载波动，避免资源闲置，提升集群资源的利用率及调度能力。 推理加速 通过AI网关优化流量分配、KVCache减少重复计算、PD分离匹配阶段特性，大幅提升推理效率。 可观测 可视化GPU资源监控大盘，一键集群巡检，全链路日志监测，724告警策略，为AI业务的持续运营提供“全天候、无死角”的保障。

索引监控指标列表 监控周期：1分钟 指标名称 指标介绍 osidxdoccount OpenSearch索引文档总数 osidxindexingtimetotal OpenSearch索引写入总耗时 osidxindexingtimerate OpenSearch索引写入频率 osidxindexingavgtime OpenSearch索引写入平均耗时 osidxsearchavgtime OpenSearch索引查询平均耗时 osidxflushrate OpenSearch索引刷新平均频率 osidxsearchqueryrate OpenSearch索引搜索Query平均频率 osidxsearchfetchrate OpenSearch索引搜索Fetch 平均频率 osidxgetcount OpenSearch索引Get总请求数 osidxgettimetotal OpenSearch索引 Get总请求耗时 osidxsearchquerycount OpenSearch索引 Search总请求数 osidxsearchquerytimetotal OpenSearch索引Search总请求数耗时

本文介绍云容器引擎Serverless版的功能特性。 虚拟节点 Serverless集群无需管理节点，但为了兼容原生Kubernetes，以及提供应对突发业务流量的弹性能力，您仍会在集群中看到虚拟节点的存在。 Pod配置 在Serverless集群中创建Pod时，您可以通过添加Annotation来定制Pod。 网络管理 Serverless集群支持Service和Ingress等对象的个性化定制，并且允许通过CoreDNS和弹性IP等办法提供服务发现功能。 存储管理 支持天翼云盘挂载，提供标准的CSI，支持存储卷的自动创建。 可观测性 Serverless集群支持安装相应组件启动监控功能。 镜像管理 Serverless集群支持使用ImageCache来加速创建Pod，帮助您快速响应业务。 组件管理 Serverless集群提供多种类型的组件，以扩展集群的各种功能。根据业务需求，您可以随时部署、升级或卸载这些组件。 应用管理 Serverless集群支持灰度发布、蓝绿发布、应用监控以及应用弹性伸缩。同时，内置的模板市场支持Helm应用一键部署，大大简化云服务集成。

云应用引擎（CAE）提供了一套完整的 OpenAPI 接口，涵盖应用生命周期管理、配置管理、监控运维等核心功能，支持开发者通过API方式实现应用的自动化部署和运维管理。

本文主要介绍 系统委托说明。 由于CCE在运行中对计算、存储、网络以及监控等各类云服务资源都存在依赖关系，因此当您首次登录CCE控制台时，CCE将自动请求获取当前区域下的云资源权限，从而更好地为您提供服务。服务权限包括： 计算类服务 CCE集群创建节点时会关联创建云主机，因此需要获取访问弹性云主机、物理机的权限。 存储类服务 CCE支持为集群下节点和容器挂载存储，因此需要获取访问云硬盘、弹性文件、对象存储等服务的权限。 网络类服务 CCE支持集群下容器发布为对外访问的服务，因此需要获取访问虚拟私有云、弹性负载均衡等服务的权限。 容器与监控类服务 CCE集群下容器支持镜像拉取、监控和日志分析等功能，需要获取访问容器镜像等服务的权限。 当您同意授权后，CCE将在IAM中自动创建账号委托，将帐号内的其他资源操作权限委托给CCE服务进行操作。 CCE自动创建的委托如下： cceadmintrust cceclusteragency cceadmintrust委托说明 cceadmintrust委托具有Tenant Administrator权限。Tenant Administrator拥有除IAM管理外的全部云服务管理员权限，用于对CCE所依赖的其他云服务资源进行调用，且该授权仅在当前区域生效。 如果您在多个区域中使用CCE服务，则需在每个区域中分别申请云资源权限。您可前往“IAM控制台 > 委托”页签，单击“cceadmintrust”查看各区域的授权记录。 说明 由于CCE对其他云服务有许多依赖，如果没有Tenant Administrator权限，可能会因为某个服务权限不足而影响CCE功能的正常使用。因此在使用CCE服务期间，请不要自行删除或者修改“cceadmintrust”委托。

本小节介绍容器安全告警事件概述。 开启节点防护后，部署在每个容器宿主机上的Agent会对容器运行状态进行实时监控，支持逃逸检测、高危系统调用、异常进程检测、文件异常检测、容器环境等检测。用户可通过容器安全告警全面了解告警事件类型，及时发现资产中的安全威胁、实时掌握资产的安全状态。 告警事件列表说明 事件类型 告警事件 原理说明 恶意软件 未分类恶意软件 通过程序特征、行为检测，结合AI图像指纹算法以及云查杀，有效识别后门、木马、挖矿软件、蠕虫和病毒等恶意程序，也可检测出容器中未知的恶意程序和病毒变种。 恶意软件 勒索软件 检测来自网页、软件、邮件、存储介质等介质捆绑、植入的勒索软件。 勒索软件用于锁定、控制您的文档、邮件、数据库、源代码、图片、压缩文件等多种数据资产，并以此作为向您勒索钱财的筹码。 恶意软件 Webshell 检测容器中Web目录中的文件，判断是否为Webshell木马文件，支持检测常见的PHP、JSP等后门文件类型。 恶意软件 黑客工具 检测利用漏洞或者黑客工具的恶意行为，一旦发现进行告警上报。 漏洞利用 漏洞逃逸攻击 HSS监控到容器内进程行为符合已知漏洞的行为特征时（例如：“脏牛”、“bruteforce”、“runc”、“shocker”等），触发逃逸漏洞攻击告警。 漏洞利用 文件逃逸攻击 HSS监控发现容器进程访问了宿主机系统的关键文件目录（例如：“/etc/shadow”、“/etc/crontab”），则认为容器内发生了逃逸文件访问，触发告警。即使该目录符合容器配置的目录映射规则，HSS仍然会触发告警。 系统异常行为 反弹Shell 支持对TCP、UDP、ICMP等协议的检测。 您可以在“策略管理”的“恶意文件检测”策略中配置反弹Shell检测，HSS会实时检测执行的可疑指令、主机被远程控制执行任意命令等。 系统异常行为 文件提权 检测利用SUID、SGID程序漏洞进行root提权的行为，一旦发现进行告警上报。 系统异常行为 进程提权 当黑客成功入侵容器后，会尝试利用漏洞进行root提权或者文件提权，从而达到非法创建和修改系统账号的权限或者篡改文件的目的。 HSS支持检测以下异常提权操作： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 对文件的提权。 系统异常行为 关键文件变更 实时监控系统关键文件（例如：ls、ps、login、top等），对修改文件内容的操作进行告警，提醒用户关键文件可能被篡改。 对于关键文件变更，HSS只检测文件内容是否被修改，不关注是人为还是进程进行的修改。 系统异常行为 进程异常行为 检测各个主机的进程信息，包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 系统异常行为 高危系统调用 Linux系统调用是用户进程进入内核执行任务的请求通道。CGS监控容器进程，如果发现进程使用了危险系统调用（例如：“openbyhandleat”、“ptrace”、“setns”、“reboot”等），触发高危系统调用告警。 系统异常行为 高危命令执行 实时检测容器系统中执行的高危命令，当发生高危命令执行时触发告警。 系统异常行为 容器进程异常 容器恶意程序 HSS监控容器内启动的容器进程的行为特征和进程文件指纹，如果特征与已定义的恶意程序吻合则触发容器恶意程序告警。 容器异常进程 容器业务通常比较单一。如果您能够确定容器内只会运行某些特定进程，可以在“策略管理”设置“容器进程白名单”并将策略关联容器镜像。 对于已关联的容器镜像启动的容器，HSS只允许白名单进程启动，如果容器内存在非白名单进程，触发容器异常程序告警。 系统异常行为 敏感文件访问 HSS监控容器内已配置文件保护策略的容器镜像文件状态。如果发生文件修改事件则触发文件异常告警。 系统异常行为 容器异常启动 HSS监控新启动的容器，对容器启动配置选项进行检测，当发现容器权限过高存在风险时触发告警。容器环境检测触发的告警只是提醒容器启动风险，并不是发生实际攻击。如果黑客利用容器配置风险执行了真实攻击，仍然会触发HSS容器安全的其他检测告警。 HSS支持以下容器环境检测： 禁止启动特权容器(privileged:true) 特权容器是指容器以最大权限启动，类似与操作系统的root权限，拥有最大能力。docker run启动容器时携带“–privilegedtrue”参数，或者kubernates POD配置中容器的“securityContext”配置了“privileged:true”，此时容器会以特权容器方式启动。 告警内容中提示：“privileged:true”，表示该容器以特权容器模式启动。 需要限制容器能力集（capabilities:[xxx]） Linux系统将系统权限做了分类，通过授予特定的权限集合，能控制容器进程的操作范围，避免出现严重问题。容器启动时默认开启了一些常用能力，通过修改启动配置可以放开所有系统权限。 告警内容中提示：“capabilities:[xxx]”，表示该容器启动时拥有所有能力集过大，存在风险。 建议启用seccomp（seccompunconfined） Seccomp(secure computing mode)是Linux的一种内核特性，用于限制进程能够调用的系统调用，减少内核的攻击面。如果容器启动时设置“seccompunconfined”，将不会对容器内的系统调用执行限制。 告警内容中提示：“seccompunconfined”，表示该容器启动时没有启动seccomp，存在风险。 说明 启用seccomp后，由于每次系统调用Linux内核都需要执行权限校验，如果容器业务场景会频繁使用系统调用，开启seccomp对性能会有一定影响。具体影响建议在实际业务场景测试分析。 限制容器获取新的权限(nonewprivileges:false) 进程可以通过程序的suid位或者sgid位获取附加权限，通过sudo提权执行更高权限的操作。容器默认配置限制不允许进行权限提升。 如果容器启动时指定了“–nonewprivilegesfalse”，则该容器拥有权限提升的能力。 告警内容中提示：“nonewprivileges:false”，表示该容器关闭了提权限制，存在风险。 危险目录映射(mounts:[...]) 容器启动时可以将宿主机目录映射到容器内，方便容器内业务直接读写宿主机上的资源。这是一种存在风险的使用方式，如果容器启动时映射了宿主机操作系统关键目录，容易造成从容器内破坏宿主机系统的事件。 HSS监控到容器启动时mount了宿主机危险路径时触发告警，定义的宿主机危险目录包括：“/boot”，“/dev”，“/etc”，“/sys”，“/var/run”等。 告警内容中提示：“mounts:[{"source":"xxx","destination":"yyy"...]”，表示该容器映射的文件路径存在风险。 说明 对于docker容器常用的需要访问的宿主文件如“/etc/hosts”、“/etc/resolv.conf”不会触发告警。 禁止启动命名空间为host的容器 容器的命名空间需要与主机隔离开，如果容器配置了与主机相同的命名空间，则该容器可以访问并修改主机上的内容，易造成容器逃逸的安全事件，存在安全风险。因此HSS会检测容器的pid，network，ipc命名空间是否为host。 告警名称为“容器命名空间”，告警内容中提示“容器pid命名空间模式”、“容器ipc命名空间模式”、“容器网络命名空间模式”，表示启动了命名空间为host的容器，需要按照告警中的提示排查容器的启动选项，如果存在业务需要，可以将该告警事件忽略。 容器镜像阻断 在Docker环境中容器启动前，HSS检测到中指定的不安全容器镜像运行时触发告警。 说明 需安装Docker插件。 用户异常行为 非法系统账号 黑客可能通过风险账号入侵容器，以达到控制容器的目的，需要您及时排查系统中的账户。 HSS检查系统中存在的可疑隐藏账号、克隆账号；如果存在可疑账号、克隆账号等，则触发告警。 用户异常行为 暴力破解 检测容器场景下“尝试暴力破解”和“暴力破解成功”等暴破异常行为，发现暴破行为时触发告警。 支持检测容器场景下SSH、Web和Enumdb暴破行为。 说明 目前暂仅支持Docker容器运行时的暴力破解检测告警。 用户异常行为 用户密码窃取 检测到通过非法手段获取用户密钥行为，一旦发现进行告警上报。 网络异常访问 异常外联行为 检测到服务器存在异常外联可疑IP的行为，一旦发现进行告警上报。 网络异常访问 端口转发检测 检测到利用可疑工具进行端口转发行为，一旦发现进行告警上报。

本小节介绍容器安全告警事件概述。 开启节点防护后，部署在每个容器宿主机上的Agent会对容器运行状态进行实时监控，支持逃逸检测、高危系统调用、异常进程检测、文件异常检测、容器环境等检测。用户可通过容器安全告警全面了解告警事件类型，及时发现资产中的安全威胁、实时掌握资产的安全状态。 告警事件列表说明 事件类型 告警事件 原理说明 恶意软件 未分类恶意软件 通过程序特征、行为检测，结合AI图像指纹算法以及云查杀，有效识别后门、木马、挖矿软件、蠕虫和病毒等恶意程序，也可检测出容器中未知的恶意程序和病毒变种。 恶意软件 勒索软件 检测来自网页、软件、邮件、存储介质等介质捆绑、植入的勒索软件。 勒索软件用于锁定、控制您的文档、邮件、数据库、源代码、图片、压缩文件等多种数据资产，并以此作为向您勒索钱财的筹码。 恶意软件 Webshell 检测容器中Web目录中的文件，判断是否为Webshell木马文件，支持检测常见的PHP、JSP等后门文件类型。 恶意软件 黑客工具 检测利用漏洞或者黑客工具的恶意行为，一旦发现进行告警上报。 漏洞利用 漏洞逃逸攻击 HSS监控到容器内进程行为符合已知漏洞的行为特征时（例如：“脏牛”、“bruteforce”、“runc”、“shocker”等），触发逃逸漏洞攻击告警。 漏洞利用 文件逃逸攻击 HSS监控发现容器进程访问了宿主机系统的关键文件目录（例如：“/etc/shadow”、“/etc/crontab”），则认为容器内发生了逃逸文件访问，触发告警。即使该目录符合容器配置的目录映射规则，HSS仍然会触发告警。 系统异常行为 反弹Shell 支持对TCP、UDP、ICMP等协议的检测。 您可以在“策略管理”的“恶意文件检测”策略中配置反弹Shell检测，HSS会实时检测执行的可疑指令、主机被远程控制执行任意命令等。 系统异常行为 文件提权 检测利用SUID、SGID程序漏洞进行root提权的行为，一旦发现进行告警上报。 系统异常行为 进程提权 当黑客成功入侵容器后，会尝试利用漏洞进行root提权或者文件提权，从而达到非法创建和修改系统账号的权限或者篡改文件的目的。 HSS支持检测以下异常提权操作： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 对文件的提权。 系统异常行为 关键文件变更 实时监控系统关键文件（例如：ls、ps、login、top等），对修改文件内容的操作进行告警，提醒用户关键文件可能被篡改。 对于关键文件变更，HSS只检测文件内容是否被修改，不关注是人为还是进程进行的修改。 系统异常行为 进程异常行为 检测各个主机的进程信息，包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 系统异常行为 高危系统调用 Linux系统调用是用户进程进入内核执行任务的请求通道。CGS监控容器进程，如果发现进程使用了危险系统调用（例如：“openbyhandleat”、“ptrace”、“setns”、“reboot”等），触发高危系统调用告警。 系统异常行为 高危命令执行 实时检测容器系统中执行的高危命令，当发生高危命令执行时触发告警。 系统异常行为 容器进程异常 容器恶意程序 HSS监控容器内启动的容器进程的行为特征和进程文件指纹，如果特征与已定义的恶意程序吻合则触发容器恶意程序告警。 容器异常进程 容器业务通常比较单一。如果您能够确定容器内只会运行某些特定进程，可以在“策略管理”设置“容器进程白名单”并将策略关联容器镜像。 对于已关联的容器镜像启动的容器，HSS只允许白名单进程启动，如果容器内存在非白名单进程，触发容器异常程序告警。 系统异常行为 敏感文件访问 HSS监控容器内已配置文件保护策略的容器镜像文件状态。如果发生文件修改事件则触发文件异常告警。 系统异常行为 容器异常启动 HSS监控新启动的容器，对容器启动配置选项进行检测，当发现容器权限过高存在风险时触发告警。容器环境检测触发的告警只是提醒容器启动风险，并不是发生实际攻击。如果黑客利用容器配置风险执行了真实攻击，仍然会触发HSS容器安全的其他检测告警。 HSS支持以下容器环境检测： 禁止启动特权容器(privileged:true) 特权容器是指容器以最大权限启动，类似与操作系统的root权限，拥有最大能力。docker run启动容器时携带“–privilegedtrue”参数，或者kubernates POD配置中容器的“securityContext”配置了“privileged:true”，此时容器会以特权容器方式启动。 告警内容中提示：“privileged:true”，表示该容器以特权容器模式启动。 需要限制容器能力集（capabilities:[xxx]） Linux系统将系统权限做了分类，通过授予特定的权限集合，能控制容器进程的操作范围，避免出现严重问题。容器启动时默认开启了一些常用能力，通过修改启动配置可以放开所有系统权限。 告警内容中提示：“capabilities:[xxx]”，表示该容器启动时拥有所有能力集过大，存在风险。 建议启用seccomp（seccompunconfined） Seccomp(secure computing mode)是Linux的一种内核特性，用于限制进程能够调用的系统调用，减少内核的攻击面。如果容器启动时设置“seccompunconfined”，将不会对容器内的系统调用执行限制。 告警内容中提示：“seccompunconfined”，表示该容器启动时没有启动seccomp，存在风险。 说明 启用seccomp后，由于每次系统调用Linux内核都需要执行权限校验，如果容器业务场景会频繁使用系统调用，开启seccomp对性能会有一定影响。具体影响建议在实际业务场景测试分析。 限制容器获取新的权限(nonewprivileges:false) 进程可以通过程序的suid位或者sgid位获取附加权限，通过sudo提权执行更高权限的操作。容器默认配置限制不允许进行权限提升。 如果容器启动时指定了“–nonewprivilegesfalse”，则该容器拥有权限提升的能力。 告警内容中提示：“nonewprivileges:false”，表示该容器关闭了提权限制，存在风险。 危险目录映射(mounts:[...]) 容器启动时可以将宿主机目录映射到容器内，方便容器内业务直接读写宿主机上的资源。这是一种存在风险的使用方式，如果容器启动时映射了宿主机操作系统关键目录，容易造成从容器内破坏宿主机系统的事件。 HSS监控到容器启动时mount了宿主机危险路径时触发告警，定义的宿主机危险目录包括：“/boot”，“/dev”，“/etc”，“/sys”，“/var/run”等。 告警内容中提示：“mounts:[{"source":"xxx","destination":"yyy"...]”，表示该容器映射的文件路径存在风险。 说明 对于docker容器常用的需要访问的宿主文件如“/etc/hosts”、“/etc/resolv.conf”不会触发告警。 禁止启动命名空间为host的容器 容器的命名空间需要与主机隔离开，如果容器配置了与主机相同的命名空间，则该容器可以访问并修改主机上的内容，易造成容器逃逸的安全事件，存在安全风险。因此HSS会检测容器的pid，network，ipc命名空间是否为host。 告警名称为“容器命名空间”，告警内容中提示“容器pid命名空间模式”、“容器ipc命名空间模式”、“容器网络命名空间模式”，表示启动了命名空间为host的容器，需要按照告警中的提示排查容器的启动选项，如果存在业务需要，可以将该告警事件忽略。 容器镜像阻断 在Docker环境中容器启动前，HSS检测到中指定的不安全容器镜像运行时触发告警。 说明 需安装Docker插件。 用户异常行为 非法系统账号 黑客可能通过风险账号入侵容器，以达到控制容器的目的，需要您及时排查系统中的账户。 HSS检查系统中存在的可疑隐藏账号、克隆账号；如果存在可疑账号、克隆账号等，则触发告警。 用户异常行为 暴力破解 检测容器场景下“尝试暴力破解”和“暴力破解成功”等暴破异常行为，发现暴破行为时触发告警。 支持检测容器场景下SSH、Web和Enumdb暴破行为。 说明 目前暂仅支持Docker容器运行时的暴力破解检测告警。 用户异常行为 用户密码窃取 检测到通过非法手段获取用户密钥行为，一旦发现进行告警上报。 网络异常访问 异常外联行为 检测到服务器存在异常外联可疑IP的行为，一旦发现进行告警上报。 网络异常访问 端口转发检测 检测到利用可疑工具进行端口转发行为，一旦发现进行告警上报。

本文介绍如何在科研助手中创建项目空间。 概述 项目空间，对应天翼云统一身份认证体系中的”企业项目“，科研助手在其原有基础上，新增了用户管理、预警额度设置、操作日志等功能，让项目管理更高效、可控。 操作步骤 1.登录科研助手++管理控制台++。 2.在控制台左侧导航栏中，选择【项目空间】。 3.在【项目空间 】页面中，单击左上角的【创建项目空间】。因项目空间使用统一身份认证服务相关接口功能，需进行内联委托，授予默认管理员策略。此处请点击“我已知悉，授权开通”，点击后右上角会提示“操作成功”。（如已授权则忽略此步骤） 4. 授权成功后，继续点击左上角的【创建项目空间】。 参数说明如下： 是否关联已有企业项目：如您之前在统一身份认证控制台已经创建了企业项目，您可以选择关联已有企业项目，在下拉框中选择对应企业项目： 项目空间名称：必填项 如您选择了关联企业项目，默认填充值为企业项目名称 如您选择不关联企业项目，可输入您想创建的项目空间名称，创建完成后，在统一身份认证IAM控制台也将同步创建企业项目 项目空间描述：必填项，按实际填写 用户组：非必填，您可以在统一身份认证IAM控制台中创建并关联 本月预警额度：非必填，预警额度按自然月设置，默认长期有效。每月初重新开始统计。 水位线：非必填，如本月预警额度设置后则为必填项，百分比，可输入100以内的正整数，按实际情况设置 备注：根据您设置的预警额度监控您的费用情况，当资源使用费用超过您自定义的预算额度水位线时，将发出预警通知，系统会通过短信/邮件/站内信方式提醒主账户，每天提醒一次。 5. 创建完成后，您可以在控制台上看到项目空间列表： 您可以点击”项目空间名称“或”详情“按钮，进入该空间详情页。 您可以点击”移除“按钮，当您移除项目空间后，该空间将从列表中隐藏。若后续需要重新展示，可通过关联企业项目恢复显示。

本章节为您介绍系统状态模块的相关内容 系统状态可以帮助您确认堡垒机系统的运行状况，可监控系统CPU、内存、磁盘的使用状态，及时了解系统的运行状况。 查看系统状态 1. 使用管理角色账号登录云堡垒机。 2. 在左侧导航栏选择“系统管理 > 系统状态”，进入“系统状态”页面，即可查看系统状态。 系统监控可查看堡垒机的“CPU利用率”、“内存利用率”和“磁盘利用率”的情况，每1个小时记录一次数值。

本文指导您如何创建天翼云SDWAN。 操作场景 用户如需使用天翼云SDWAN服务，首先需要创建天翼云SDWAN实例。 操作步骤 1. 登录天翼云SDWAN控制台； 2. 选择“总览”，单击“创建天翼云SDWAN”;（或者选择“天翼云SDWAN”，单击“创建天翼云SDWAN”）； 3. 根据页面提示，填写SDWAN名称、描述（选填），选择要加入的企业项目； 4. 单击“确定”，完成天翼云SDWAN实例创建。

3、配置全局策略 1. 在全局配置 页面，按需添加保护策略 和监控指标。 2. 配置完成后，单击完成 按钮，创建演练任务。 4、发起故障注入 1. 发起演练 ：在演练管理 列表找到对应演练任务，单击操作列的执行演练， 在新页面中点击发起新演练。 2. 进入实验 ：系统将自动跳转到本次演练的运行详情 页，或在演练执行记录 列表点击对应执行实例的详情进入。 3. 注入故障 ：在动作组 中，找到DNS篡改 动作卡片，单击执行。 4. 查看日志 ：单击动作卡片本身，在右侧弹出的侧边栏中查看执行详情。 效果验证 在故障注入期间，您可以通过以下方式验证演练效果： 1、观测实例指标： 登录应用性能监控 控制台，观测已接入应用的HTTP请求错误数、HTTP状态码统计指标。 2、业务应用验证： 使用 ping 或 dig 命令访问被篡改的域名（例如 ping yourtampereddomain.com）。预期 ping 命令会尝试连接“映射IP”，而不是该域名真实的IP地址。

3、配置全局策略 1. 在全局配置 页面，按需添加保护策略 和监控指标。 2. 配置完成后，单击完成 按钮，创建演练任务。 4、发起故障注入 1. 发起演练 ：在演练管理 列表找到对应演练任务，单击操作列的执行演练， 在新页面中点击发起新演练。 2. 进入实验 ：系统将自动跳转到本次演练的运行详情 页，或在演练执行记录 列表点击对应执行实例的详情进入。 3. 注入故障 ：在动作组 中，找到端口占用动作卡片，单击执行。 4. 查看日志 ：单击动作卡片本身，在右侧弹出的侧边栏中查看执行详情。 效果验证 在故障注入期间，您可以通过以下方式验证演练效果： 1、观测实例指标： 登录应用性能监控 控制台，观测已接入应用的应用提供服务请求量、应用提供服务平均响应时间指标。 2、业务应用验证： 尝试启动原本需要使用该端口的业务服务。预期服务启动会失败，并在其日志或控制台输出中看到明确的错误信息，如 Address already in use 或 端口已被占用。

3、配置全局策略 1. 在全局配置 页面，按需添加保护策略 和监控指标。 2. 配置完成后，单击完成 按钮，创建演练任务。 4、发起故障注入 1. 发起演练 ：在演练管理 列表找到对应演练任务，单击操作列的执行演练， 在新页面中点击发起新演练。 2. 进入实验 ：系统将自动跳转到本次演练的运行详情 页，或在演练执行记录 列表点击对应执行实例的详情进入。 3. 注入故障 ：在动作组 中，找到网络包损坏动作卡片，单击执行。 4. 查看日志 ：单击动作卡片本身，在右侧弹出的侧边栏中查看执行详情。 效果验证 在故障注入期间，您可以通过以下方式验证演练效果： 1、观测实例指标： 登录应用性能监控 控制台，观测已接入应用的HTTP请求错误数、HTTP状态码统计指标。 2、业务应用验证： 观察应用，特别是那些进行大文件传输或对实时性要求高的服务，是否出现性能下降或连接中断。 检查应用日志，确认是否有因重传或超时导致的错误或警告信息。

3、配置全局策略 1. 在全局配置 页面，按需添加保护策略 和监控指标。 2. 配置完成后，单击完成 按钮，创建演练任务。 4、发起故障注入 1. 发起演练 ：在演练管理 列表找到对应演练任务，单击操作列的执行演练， 在新页面中点击发起新演练。 2. 进入实验 ：系统将自动跳转到本次演练的运行详情 页，或在演练执行记录 列表点击对应执行实例的详情进入。 3. 注入故障 ：在动作组 中，找到网络包乱序动作卡片，单击执行。 4. 查看日志 ：单击动作卡片本身，在右侧弹出的侧边栏中查看执行详情。 效果验证 在故障注入期间，您可以通过以下方式验证演练效果： 1、观测实例指标： 登录应用性能监控 控制台，观测已接入应用的应用提供服务平均响应时间指标。 2、业务应用验证： 观察运行在目标节点上的业务 Pod 与其他 Pod 或外部服务通信时，是否出现性能下降、卡顿或功能异常。 某些对数据包顺序敏感的应用层协议可能会出现解析错误或连接中断。

4、发起故障注入 1. 发起演练 ：在演练管理 列表找到对应演练任务，单击操作列的执行演练， 在新页面中点击发起新演练。 2. 进入实验 ：系统将自动跳转到本次演练的运行详情 页，或在演练执行记录 列表点击对应执行实例的详情进入。 3. 注入故障 ：在动作组 中，找到磁盘IO高负载动作卡片，单击执行。 4. 查看日志 ：单击动作卡片本身，在右侧弹出的侧边栏中查看执行详情。 效果验证 在故障注入期间，您可以通过以下方式验证演练效果： 1、观测实例指标： 登录云容器引擎控制台，进入目标实例节点的监控指标页，观测磁盘读写速率(Bps)指标。 2、业务应用验证： 观察运行在目标节点上、且挂载了持久化存储（PVC）的业务 Pod（如数据库、中间件等），确认其读写性能是否下降或出现超时。 检查无状态应用的日志写入是否出现延迟或失败。 验证您的业务监控告警系统是否成功捕获到节点磁盘I/O异常或应用性能劣化，并触发了相应告警。

3、配置全局策略 1. 在全局配置 页面，按需添加保护策略 和监控指标。 2. 配置完成后，单击完成 按钮，创建演练任务。 4、发起故障注入 1. 发起演练 ：在演练管理 列表找到对应演练任务，单击操作列的执行演练， 在新页面中点击发起新演练。 2. 进入实验 ：系统将自动跳转到本次演练的运行详情 页，或在演练执行记录 列表点击对应执行实例的详情进入。 3. 注入故障 ：在动作组 中，找到网络包损坏动作卡片，单击执行。 4. 查看日志 ：单击动作卡片本身，在右侧弹出的侧边栏中查看执行详情。 效果验证 在故障注入期间，您可以通过以下方式验证演练效果： 1、观测实例指标： 登录应用性能监控 控制台，观测已接入应用的HTTP请求错误数、HTTP状态码统计指标。 2、业务应用验证： 观察运行在目标节点上的业务 Pod 与其他 Pod 或外部服务通信时，是否出现性能下降或连接中断。 检查应用日志，确认是否有因重传或超时导致的错误或警告信息。

3、配置全局策略 1. 在全局配置 页面，按需添加保护策略 和监控指标。 2. 配置完成后，单击完成 按钮，创建演练任务。 4、发起故障注入 1. 发起演练 ：在演练管理 列表找到对应演练任务，单击操作列的执行演练， 在新页面中点击发起新演练。 2. 进入实验 ：系统将自动跳转到本次演练的运行详情 页，或在演练执行记录 列表点击对应执行实例的详情进入。 3. 注入故障 ：在动作组 中，找到网络包损坏动作卡片，单击执行。 4. 查看日志 ：单击动作卡片本身，在右侧弹出的侧边栏中查看执行详情。 效果验证 在故障注入期间，您可以通过以下方式验证演练效果： 1、观测实例指标： 登录应用性能监控 控制台，观测已接入应用的HTTP请求错误数、HTTP状态码统计指标。 2、业务应用验证： 观察运行在目标节点上的业务 Pod 与其他 Pod 或外部服务通信时，是否出现性能下降或连接中断。 检查应用日志，确认是否有因重传或超时导致的错误或警告信息。

3、配置全局策略 1. 在全局配置 页面，按需添加保护策略 和监控指标。 2. 配置完成后，单击完成 按钮，创建演练任务。 4、发起故障注入 1. 发起演练 ：在演练管理 列表找到对应演练任务，单击操作列的执行演练， 在新页面中点击发起新演练。 2. 进入实验 ：系统将自动跳转到本次演练的运行详情 页，或在演练执行记录 列表点击对应执行实例的详情进入。 3. 注入故障 ：在动作组 中，找到网络包损坏动作卡片，单击执行。 4. 查看日志 ：单击动作卡片本身，在右侧弹出的侧边栏中查看执行详情。 效果验证 在故障注入期间，您可以通过以下方式验证演练效果： 1、观测实例指标： 登录应用性能监控 控制台，观测已接入应用的HTTP请求错误数、HTTP状态码统计指标。 2、业务应用验证： 观察运行在目标节点上的业务 Pod 与其他 Pod 或外部服务通信时，是否出现性能下降或连接中断。 检查应用日志，确认是否有因重传或超时导致的错误或警告信息。

3、配置全局策略 1. 在全局配置 页面，按需添加保护策略 和监控指标。 2. 配置完成后，单击完成 按钮，创建演练任务。 4、发起故障注入 1. 发起演练 ：在演练管理 列表找到对应演练任务，单击操作列的执行演练， 在新页面中点击发起新演练。 2. 进入实验 ：系统将自动跳转到本次演练的运行详情 页，或在演练执行记录 列表点击对应执行实例的详情进入。 3. 注入故障 ：在动作组 中，找到网络包损坏动作卡片，单击执行。 4. 查看日志 ：单击动作卡片本身，在右侧弹出的侧边栏中查看执行详情。 效果验证 在故障注入期间，您可以通过以下方式验证演练效果： 1、观测实例指标： 登录应用性能监控 控制台，观测已接入应用的HTTP请求错误数、HTTP状态码统计指标。 2、业务应用验证： 观察应用，特别是那些进行大文件传输或对实时性要求高的服务，是否出现性能下降或连接中断。 检查应用日志，确认是否有因重传或超时导致的错误或警告信息。

3、配置全局策略 1. 在全局配置 页面，按需添加保护策略 和监控指标。 2. 配置完成后，单击完成 按钮，创建演练任务。 4、发起故障注入 1. 发起演练 ：在演练管理 列表找到对应演练任务，单击操作列的执行演练， 在新页面中点击发起新演练。 2. 进入实验 ：系统将自动跳转到本次演练的运行详情 页，或在演练执行记录 列表点击对应执行实例的详情进入。 3. 注入故障 ：在动作组 中，找到端口占用动作卡片，单击执行。 4. 查看日志 ：单击动作卡片本身，在右侧弹出的侧边栏中查看执行详情。 效果验证 在故障注入期间，您可以通过以下方式验证演练效果： 1、观测实例指标： 登录应用性能监控 控制台，观测已接入应用的应用提供服务请求量、应用提供服务平均响应时间指标。 2、业务应用验证： 尝试启动原本需要使用该端口的业务服务。预期服务启动会失败，并在其日志或控制台输出中看到明确的错误信息，如 Address already in use 或 端口已被占用。

3、配置全局策略 1. 在全局配置 页面，按需添加保护策略 和监控指标。 2. 配置完成后，单击完成 按钮，创建演练任务。 4、发起故障注入 1. 发起演练 ：在演练管理 列表找到对应演练任务，单击操作列的执行演练， 在新页面中点击发起新演练。 2. 进入实验 ：系统将自动跳转到本次演练的运行详情 页，或在演练执行记录 列表点击对应执行实例的详情进入。 3. 注入故障 ：在动作组 中，找到网络延迟动作卡片，单击执行。 4. 查看日志 ：单击动作卡片本身，在右侧弹出的侧边栏中查看执行详情。 效果验证 在故障注入期间，您可以通过以下方式验证演练效果： 1、观测实例指标： 登录应用性能监控 控制台，观测已接入应用的应用提供服务平均响应时间指标。 2、业务应用验证： 观察应用，确认依赖网络通信的模块（如调用外部API、数据库查询）是否出现响应缓慢或请求超时。 检查应用日志，确认是否有因超时而触发的重试、熔断或降级逻辑。

修改共享带宽带宽值 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>公网访问>共享带宽】，选择对应的地域。 3. 在【共享带宽列表】，选择需要操作的共享带宽实例，单击【更多>修改带宽】按钮，即可修改带宽值，最大带宽值支持1000Mbps，如果需要更大的带宽值，请联系您的客户经理、线上咨询或拨打客服热线电话寻求帮助，热线电话：4008109889转1。 查看共享带宽监控 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>公网访问>共享带宽】，选择对应的地域。 3. 选择需要操作的共享带宽实例，单击【更多>监控】按钮，查看带宽自定义时间段的出/入网带宽、出/入网流量。 删除共享带宽 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>公网访问>共享带宽】，选择对应的地域。 3. 在【共享带宽列表】选择需要删除的共享带宽，单击【操作>删除】，弹出确认删除共享带宽提示，如需继续删除单击【删除】即可。只有没有添加公网IP的共享带宽可以删除。

本节介绍如何查看VPC边界防护情况。 在VPC边界防火墙开关页面上方，用户可以查看VPC边界流量监控信息、防护状态、配额状态和流量拓扑。 VPC边界流量监控：展示最近7天内所有已开启防护资产的VPC边界流量峰值带宽；以及当前已购买的带宽规格和带宽占用情况。 防护状态：统计了您已开启和未开启防护的资产数量，支持防护对等连接、云专线、云间高速资产。 配额状态：展示已经购买的VPC边界防火墙未使用和已使用的配额数，以及VPC边界防护配额总量。1个防护实例，消耗1个防护配额。 流量拓扑可视：展示VPC边界的网络资产互访关系和防护情况，便于您梳理VPC边界访问拓扑并直观掌握整体网络安全防护态势。 操作步骤 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“防火墙开关 > VPC边界防火墙开关”。 3. 查看当前账号下对等连接、云专线、云间高速的防护情况。

{Job.getNodeStatus("nodename")} 这个表达式的作用为获取指定节点的执行状态，成功状态返回success，失败状态返回fail。本例使用中，IF条件表达式分别为： 上面的A分支IF条件表达式为： {(Job.getNodeStatus("CDM")) "success" ? "true" : "false"} 下面的B分支IF条件表达式为： {(Job.getNodeStatus("CDM")) "fail" ? "true" : "false"} 输入IF条件表达式后，配置IF条件匹配失败策略，可选择仅跳过相邻的下一个节点，或者跳过该IF分支后续所有节点。配置完成后点击确定，保存作业。 配置失败策略 5. 测试运行作业，并前往实例监控中查看执行结果。 6. 待作业运行完成后，从实例监控中查看作业实例的运行结果，如下图所示。可以看到运行结果是符合预期的，当前CDM执行的结果为fail的时候，跳过A分支，执行B分支。 作业运行结果

数据监控 OOS提供统计分析功能，支持查询指定Bucket的使用情况、指定数据域的使用情况。用户可以根据统计分析数据，采取对应的措施，详见统计。

本节介绍了用户指南:使用OceanFS动态存储卷(sharePath模式)。 云容器引擎支持使用天翼云海量文件存储持久卷。cstorcsi插件支持使用海量文件服务动态存储卷和静态存储卷，通过将存储卷挂载到容器指定目录下，以满足数据持久化需求。 sharePath模式是指将完整的海量文件存储作为持久卷使用。当用户挂载持久卷声明时，海量文件的根目录会被挂载到容器中。 前提条件 已创建容器集群 已在插件市场安装存储插件cstorcsi，插件版本>3.6.0，且插件正常运行。（建议使用>4.0的CSI版本） 使用限制 参见海量文件使用限制 通过控制台使用海量文件动态存储卷 1、创建存储类（StorageClass） 登录“云容器引擎”管理控制台； 在集群列表页点击进入指定集群； 进入主菜单“存储”——“存储类”，单击左上角“创建”； 在创建对话框，配置存储类StorageClass的相关参数。配置项说明如下： 配置项 说明 名称 StorageClass的名称。 存储类型 当前支持云盘、弹性文件、对象存储、并行文件、海量文件，这里选择海量文件。 具体创建页中展示的存储类型由当前资源池支持情况决定。 存储驱动 采用默认CSI驱动 模式 新建海量文件：每次创建持久卷申明时，均创建一个新的海量文件与之对应。 新建子目录：基于某个已经存在的海量文件，每次创建持久卷申明时，在这个海量文件上创建一个子目录与之对应。 计费模式 可以选择按需计费或者包年包月 回收策略 回收策略，默认为Deleted。 Retained（保留）：用户可以手动回收资源。当 PVC对象被删除时，PV 卷仍然存在，对应的数据卷被视为"已释放（released）"。 Deleted（删除）：对于支持 Delete 回收策略的卷插件，删除动作会将 PV对象从 Kubernetes 中移除，同时也会从外部基础设施中移除所关联的存储资产。 如果对数据安全性要求高，推荐使用Retain方式，以免误删数据。 绑定策略 绑定策略，默认为Immediate。 Immediate 模式：表示一旦创建了 PVC，也就完成了卷绑定和动态供应。 对于由于拓扑限制而非集群所有节点可达的存储后端，PV会在不知道 Pod 调度要求的情况下绑定或者制备。 WaitForFirstConsumer模式： 该模式将延迟 PV的绑定和制备，直到使用该 PVC的 Pod 被创建。 PV会根据 Pod 调度约束指定的拓扑来选择或供应。 支持扩容 默认该开关是打开的，一般也建议打开。 如果关闭该开关，则使用该存储类的pvc，无法被扩容。 挂载选项 挂载参数，用户可根据自己的情况实际定制相关参数。 注意 请务必在挂载时使用noresvport参数，该参数可以在网络故障时自动切换端口，保障网络连接，防止文件系统卡住。挂载参数的说明参见 查看这里 参数 存储类型：参数键为type，支持参数值如下： massive ：容量型 可用区：选择随机，或者指定具体的某个可用区。建议与存储产品确认，哪些可用区有对应的云硬盘类型，再进行选择。 存储标签：创建存储资源时，给存储资源添加对应的标签，注意，该标签不是K8S的label，而是存储侧的资源标签，需要在存储控制台或者云资源视图查看。 参数配置完成后，点击“确定”。创建成功后，可以在存储类列表查看。

云应用引擎（CAE）提供了一套完整的 OpenAPI 接口，涵盖应用生命周期管理、配置管理、监控运维等核心功能，支持开发者通过API方式实现应用的自动化部署和运维管理。