如何强制客户端使用HTTPS请求访问网站？ 当您想要提高网站访问的安全性，可以开启HTTPS强制跳转功能，此时所有客户端的HTTP请求都将强制转换为HTTPS请求，并默认跳转至443端口，详情请参见将网站接入WAF防护（域名接入）、将网站接入WAF防护（ 独享型接入）。 WAF原生版是否支持HTTP 3.0协议？ WAF原生版暂不支持HTTP 3.0协议，目前仅支持HTTP 1.0/2.0协议。 网站接入WAF防护时，源站IP可以填写云主机的内网IP吗？ 域名接入 源站IP不可以填写云主机的内网IP。 域名接入采用CNAME的方式将原本去向网站的请求转向的WAF，从而实现对网站访问的安全防护，这些用户请求将在WAF进行安全检测和过滤后，发送回源站。当前WAF提供的CNAME为公网解析的CNAME，只能解析到公网IP地址，无法解析到内网IP，所以源站IP地址不能填写云主机的内网IP。 注意 在网站接入WAF后，您应确保源站服务器已将WAF的全部回源IP放行（即加入白名单），否则可能会出现网站无法打开或打开极其缓慢等情况。 独享型接入 独享型实例与业务主机部署在同一VPC，源站IP可以填写云主机的内网IP。

镜像服务(IMS)是弹性云主机实例可选择的运行环境模板,一般包括操作系统和预装软件。镜像服务包括公共镜像、私有镜像、共享镜像、安全产品镜像、应用镜像。通过镜像用户可以在云主机实例上实现应用场景的快速部署。

概述 JWT全称为 JSON Web Token，是一种开放标准（RFC 7519），它定义了一种在通信各方之间以JSON对象形式安全传输信息的方式。JWT可以使用HMAC、RSA、ECDSA等算法签名；在应用中，JWT可以用于用户身份认证和访问鉴权。云原生网关作为微服务的访问入口，是实现认证鉴权的理想节点，当前云原生网关支持JWT认证方式，交互流程如下： 1. JWT签发阶段，云原生网关对这类接口访问不做认证，将请求透传到业务授权服务。 2. 业务授权服务认证成功后签发JWT并返回给客户端，在后续的请求中客户端会带上JWT。 3. 云原生网关收到正常的业务请求时提取JWT并校验签名信息，校验通过则放过请求，否则返回401状态码。 JWT策略配置 云原生网关支持全局的JWT策略配置，在 安全认证 > 认证鉴权 菜单下，选择创建鉴权，鉴权类型选择JWT，填写相关参数即可创建JWT认证策略，JWT配置参数说明如下： 配置 说明 鉴权名称 唯一标识一个JWT鉴权配置，只能包含大小写字母、数字和‘’，且不能以‘’开头或者结尾。 加密算法 支持HS256、HS512、RS256。 密钥 选择HS256/ HS512算法时填写，需要指定是否base64编码，并提供密钥。 RSA密钥 选择RS256算法时填写，需要提供RSA算法公钥和私钥。 JWT Token配置 网关从请求获取JWT Token的位置，支持指定header、query和Cookie的key。 过期时间 JWT Token过期时间，默认86400秒。

本节为您介绍云迁移产品咨询相关问题。 我在什么场景下使用CMS服务？ 当您需要将云下或者其余云服务商的主机迁移上天翼云或将天翼云的云主机迁移到其他资源池下时，您可以使用CMS服务帮助您有序、安全、便捷、轻松地将数字资产、服务、IT资源及应用程序，部分或完全地进行迁移，同时保证云上业务的可用性、安全性以及连续性。 CMS是否支持从阿里云、天翼云等其余云迁移至天翼云？ 支持。 CMS支持市面上主流云厂商迁移至天翼云，如阿里云、天翼云、AWS以及移动云等； 同时也支持将本地云主机迁移至天翼云。通常情况下同处理器架构都可以通过CMS服务迁移上天翼云。 如果用户已经在天翼云上创建了云主机，但想更换资源池、可用区或把云主机更换到另一账户，也可使用云迁移服务CMS。 CMS是否支持将天翼云上的云主机，迁移到其余云服务商或本地？ 不支持。 CMS服务公有云版仅能够选择天翼云上的云主机作为目标端进行迁移，无法迁移到本地或其他云服务商。 如果客户有本地迁移或内网迁移需要，可以参考云迁移专家服务联系到云迁移团队付费进行私有场景的迁移。

本小节介绍云下一代防火墙配置自动更新策略。 云下一代防火墙是智能下一代防火墙，具有安全防护功能，因此需要更新特征库，由于特征库更新需要占用带宽，建议非业务繁忙期进行升级更新，一般设置为深夜。

本文带您了解提示“您的凭据无法工作”的处理方法。 问题描述 在天翼云官网开通对应Windows云主机后，除控制台VNC接入外还有其他PC本地进行远程接入场景。当接入时候提示您的凭据无法工作错误，远程登录失败。 已开通云主机信息：远程登录时需要公网IP信息、账号名及对应密码。 解决方法 步骤一： 修改Windows云主机网络策略 1、 使用管理控制台VNC方式登录云服务器。 2、 点击“开始 > 运行”，输入“gpedit.msc”，打开“本地组策略编辑器”。 3、 点击“计算机配置 运行”，输入“gpedit.msc”，打开“本地组策略编辑器”。 3、 选择“计算机配置 运行”输入gpupdate /force，更新组策略。

本文介绍如何查看堡垒机实例的详细信息。 购买云堡垒机实例后，可以查看实例的详细信息，包括实例状态、IP地址等信息。 查看实例信息 1. 登录管理控制台。 2. 选择“安全 > 云堡垒机（原生版）”，进入云堡垒机实例管理页面。 3. 查看实例的基本信息、网络信息、节点信息。 参数 说明 实例状态 当前实例的运行状态，更多信息请参见实例状态说明。 实例名称 当前实例的名称，购买实例后不支持修改。 实例版本 当前实例的版本。 若实例不是最新版本，可单击“升级”升级到最新版本。详细操作请参见升级实例版本。 地域/可用区 当前实例的地域/可用区。 IP地址 当前实例的内网地址和外网地址，支持修改。 单击地址旁边的编辑按钮，可修改IP地址。仅单机版支持修改内网地址。 IPV6内网地址 当前实例的IPV6内网地址。 企业项目 当前实例绑定的企业项目名称。 到期时间 当前实例到期的时间。 若购买的实例即将到期或已经到期，可单击“更多 > 续费”，延长当前实例规格的使用时长，详细操作请参见续订实例。 创建时间 当前实例的创建时间。 资源类型 当前实例的类型，单机版或主备版。 资源ID 当前实例的资源ID。通过资源ID可以在订单管理页面查找相关订单。 实例 当前实例的实例ID。 实例规格 当前实例的资产规格。 当云堡垒机的资产规格不能满足需求时，可对云堡垒机实例进行资产规格升级，扩大纳管的资产数上限、增加存储容量，变更规格详细操作请参见变更实例规格。 虚拟私有云 当前实例绑定的VPC，购买实例后不支持切换VPC。 安全组 用户配置的虚拟网络环境安全规则。 子网 当期实例配置的VPC网络的子网。 存储 当前实例系统盘的使用情况。 系统盘 当前实例系统盘的使用情况。 部署架构 当前实例的部署架构。 主节点 当前实例主节点的可用区、实例ID、系统盘、存储信息。 备节点 当前实例备节点的可用区、实例ID、系统盘、存储信息。 仅“资源类型”为“主备版”才可查看此项。

云原生网关 核心能力 传统平台 使用云原生网关 云原生特性 1.流量网关+业务网关模式，部署运维工作量大，资源消耗多。 2.云原生组件支持不够。 1.同时具备流量网关和微服务网关能力，资源消耗减半。 2.无缝对接云原生组件，更贴合云原生架构。 开箱即用 需要投入人力处理部署、运维和定制化开发工作。 即买即用型实例，用户只需专注于业务开发，无需关注资源购买及部署运维，更专业、更弹性、更可靠。 高集成 集成云原生组件的能力较弱。 可与自研产品体系无缝对接，例如容器服务、注册中心、日志服务、应用监控等，提供一站式的微服务解决方案。 高扩展 扩展能力较弱。 支持多语言插件化扩展，场景丰富、应用灵活。 监控分析 监控指标不够丰富，实现链路追踪等能力需要的成本较高。 提供丰富的指标监控、日志分析、链路追踪等功能，实现服务的可见、可管、可控。 安全可靠 不支持复杂的安全认证机制。 支持HTTPS加密通信，提供jwt、oidc认证，ip黑白名单等安全策略。 低成本 需要自己维护网关组件。 网关能力托管到云端，节省用户维护成本。

步骤二：创建OceanFS文件系统并挂载至GPU云主机 1. 返回“控制中心”，在“存储”下单击“海量文件服务（OceanFS）”，进入文件系统列表页面。 2. 右上角单击“创建OceanFS实例”，进入创建文件系统页面。 3. 进行基础配置，各参数含义参考创建文件系统海量文件服务 OceanFS。 注意 文件系统和云主机应选择同一VPC，否则无法挂载。 4. 点击“下一步”确认配置。确认无误后点击“立即购买”，确认订单并支付。 5. 返回OceanFS控制台，等待文件系统创建完成。 6. 参考挂载NFS文件系统到弹性云主机 (Linux)将文件系统挂载至GPU云主机的“/mnt/test”目录下。 说明 “/mnt/test”可以根据实际需求替换为实际的挂载目录。 步骤三：部署DeepSeek模型 1. 修改模型下载路径，将模型保存在OceanFS的挂载目录下。 1. 在“/mnt/test”目录下创建模型下载新目录“/mnt/test/models”，并配置访问权限777。依次执行以下两条命令： plaintext mkdir /mnt/test/models chmod 777 /mnt/test/models 2. 执行以下命令修改ollama.service配置，添加Environment"0LLAMAMODELS/mnt/test/models语句来更改模型保存位置。 plaintext vim /etc/systemd/system/ollama.service 3. 依次执行以下命令，重启Ollama服务。 plaintext systemctl daemonreload systemctl restart ollama.service 2. 加载DeepSeek模型。 1. 以deepseekr1:7b为例，执行以下命令： plaintext ollama run deepseekr1:7b 2. 检查下载的模型保存在OceanFS的目录下。执行ll命令： 3. 使用DeepSeek模型。 1. 在命令行界面使用模型。 2. 通过Web页面进行模型交互。 注意 镜像自带的 ollama 工具监听 127.0.0.1:11434、webui 监听 0.0.0.0:3000 端口，云主机默认不对外开放任何端口访问，请按需开放端口访问规则，避免数据泄露。 使用此方式需要开通弹性IP，弹性IP是计费服务，详见计费概述弹性IP计费说明 天翼云。 1. 放行云主机安全组的 3000 端口。具体操作请参考添加安全组规则弹性云主机用户指南安全安全组配置安全组规则 天翼云。 2. 访问DeepSeek模型的可视化界面。登录地址为： 注意 云主机全自动安装DeepSeek模型和可视化界面，请等待云主机启动 5 分钟后，再访问登录界面。 首次登录页面如下： 3. 注册管理员账号。 4. 使用设置。刷新进入首页，在模型下拉列表中，选择刚部署的DeepSeek:7b 模型。 点击左下角进入设置页面，如果您不想开放其他用户注册使用，则需要关闭 “允许用户注册” 功能。 如果您允许用户注册，还可以设置用户注册之后的行为，例如选择新用户注册后默认用户角色为“用户”/“待激活” 等，需要管理员手动激活。 设置模型可见性。多用户模式下，建议把模型设置为"Public"。 5. 使用DeepSeek模型进行模型推理。

本文为您介绍一键部署个人AI助手 OpenClaw的最佳实践。 OpenClaw 是一个开源的、运行于系统级环境的通用 AI 助手框架。支持文件读写、代码执行与多步任务编排，可通过聊天工具接收指令并完成实际操作。其核心特征是“可执行性”，适用于自动化办公与任务代理，通常需在隔离、可控的云端环境中运行。 说明 OpenClaw 作为开源项目，建议在使用前全面评估其安全性与稳定性，仔细阅读《OpenClaw 安全风险提示》并且严格按照对应的开源许可协议规范使用，确保系统和数据安全。 注册账号 在创建和使用天翼云产品之前，您需要先注册天翼云门户的账号并完成实名认证。具体步骤可参见注册天翼云账号。 如果您拥有天翼云的账号，且账号中有足够的余额，可跳转到下一步骤。 创建OpenClaw云主机 1.登录天翼云官网，进入公有云生态专区。点击“立即选购”，进入应用选购列表页面。 2.在应用选购列表中，选择OpenClaw，点击“立即订购”。 3.根据指引，完成简单配置后，依次点击“确认下单”、“立即购买”，完成OpenClaw云主机订购操作。同时，建议您开通云主机备份产品对OpenClaw云主机进行备份保护。 说明 资源池范围：西南1、武汉41、长沙42、华南2、杭州7、华东1、武汉4、上海7、芜湖2、拉萨3、上海36

本页为您介绍WPS云文档天翼云版的产品定义 WPS+云办公服务是基于WPS云文档、文档安全服务、企业管理后台、办公轻应用（日程/日历/待办）等全线产品的企业办公云服务。 满足企业和团队在文档处理、云存储、共享协作、在线编辑、高效检索、权限管控、加密防护、信息收集等全场景的办公诉求，用文档服务与企业共建支撑业务运行的平台，助力企业数据和业务低成本快速上云，为企业在线信息化办公赋能。

本节介绍智算套件概述。 前提条件 已创建云容器引擎智算版集群。 智算套件介绍 套件名称 套件功能 驱动管理 为GPU云主机或物理机的算力调度提供硬件驱动。 弹性数据集 支持数据集版本管理，提供弹性加载能力。 GPU安全容器 支持Kata安全容器运行时，满足业务高安全需求。 智算套件控制面引擎 提供高可用控制面，管理智算套件控制台正常运行。 监控 为集群提供硬件监控能力，可采集GPU/NPU，显存等，支持可视化查看GPU的分配、使用和健康状态。 网络 为集群容器提供使用RDMA网络的能力，包括IB和RoCE。 模型预热 将模型从对象存储预热到本地盘，大幅提升模型部署效率。 智能调度 为集群提供智能任务调度策略，可支持Gang、Capacity、Binpack/Spread和Queue等智能调度。 弹性训练 为集群提供AI任务接入，兼容主流AI框架和工具，包括TensorFlow、PyTorch、Horovod、Spark等。 故障诊断 为集群提供集群巡检、故障诊断等能力。 存储 为集群容器提供挂载HPFS和ZOS的能力。 日志 为集群的系统组件以及控制面组件收集日志。

Open WebUI是一个可扩展、功能丰富、用户友好的自托管WebUI，它支持各种LLM运行程序，包括Ollama和OpenAI兼容的API。并且内置了 RAG（检索增强生成）推理引擎 ，使其成为一个功能强大的 AI 部署解决方案。Deepseek 云主机自带 Open WebUI，通过GPU云主机自带 Open WebUI，本文简述了如何通过 Open WebUI快速体验本地和第三方大模型。 注意 GPU云主机镜像自带的ollama监听127.0.0.1:11434、vllm 监听 0.0.0.0:8000、openwebui 监听 0.0.0.0:3000 端口，云主机默认不对外开放任何端口访问，请按需开放端口访问规则，避免数据泄露。 开放云主机端口 云主机安全组需要放行3000端口，添加安全组规则帮助文档。 注册管理员账号 Deepseek云主机内置可视化界面，云主机启动 5 分钟后，可访问 (yourip 这台云主机的eip) 体验DeepSeek。 首次登录页面如下： 点击开始使用，注册管理员账号： 基本配置 Open WebUI有强大的设置功能，可根据需要进行设置，点击左下角进入设置页面。 首先在通用设置中，将语言设置为简体中文。 进入管理员设置。 如果您不想开放其他用户注册使用，则需要关闭 “允许用户注册” 功能。 如果你允许用户注册，还可以设置用户注册后的行为，例如将新用户注册后的默认用户角色设为“用户”或“待激活”等，这些用户需要管理员手动激活：

本节介绍订购集群联邦。 订购联邦 订购步骤 1. 在CCEONE控制台右上方侧点击“创建联邦”按钮。 2. 在“订购创建联邦”页面，选择计费模式、联邦名称、容器舰队、企业项目、虚拟私有云、所在子网、安全组、ApiServer访问、是否使用EIP暴露ApiServer、删除保护等参数，选择好了后点击"下一步"。 3. 在“开通配置”页面确认创建配置符合要求后，勾选同意“服务协议”，勾选好了后点击“提交订单”。 4. 返回CCEONE控制台，查看开通状态，待实例处于“运行”状态后开通成功，可点击实例进入控制台操作联邦实例。 约束条件 项目 约束 计费模式 当前只支持“按需计费”模式。 联邦名称 实例名称不可重复；实例名称长度4~40个字符，大小写字母开头，只能包含大小写字母、数字及分隔符()，大小写字母或数字结尾。 容器舰队 容器舰队可提供多集群的统一管理，包括统一的权限管理、统一的安全策略、统一的配置管理以及统一的多联邦管理、网格等能力。 舰队成员集群与联邦之间若存在跨资源池互通需求，后台默认尝试公网互联方式；若需调整，请在订购后至联邦控制台进行设置。 企业项目 可选择已有企业项目，或者在IAM创建新的企业项目。 虚拟私有云 建议联邦实例与成员集群间网络尽可能同资源池同 VPC，可最大化降低管理流量跨网跨资源池互通的成本。 所在子网 请选择虚拟私有云子网，集群的节点将部署在此子网中，并申请子网的 IP。当子网开启IPv6时，云资源（云主机、物理机）将开启 IPv4/IPv6 双栈。 ApiServer访问 请您根据需求选择合适的ELB规格，系统将据此创建一个私网ELB实例作为 APIServer 的负载均衡器，若删除该ELB实例会导致 APIServer 无法访问。 安全组 可自动生成或者选择已有安全组，需要确保联邦访问端口在虚拟私有云的子网里为放通状态。 是否使用EIP暴露ApiServer 获得您的授权，以委托方式新建 EIP 并按 EIP 实际使用量收费，未开启，无法通过公网访问 APIServer。 删除保护 防止通过控制台或API误删除联邦控制面，删除联邦控制面实例不会对用户容器集群造成任何影响，理论上也不影响已调度完成的应用。

介绍云审计服务支持的性能测试服务操作列表。 云审计服务（Cloud Trace Service，简称CTS），是安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 通过云审计服务，您可以记录与消息通知服务相关的操作事件，便于日后的查询、审计和回溯。 表 支持审计的关键操作列表 servicetype resourcetype resourceid tracename 中文描述 CPTS cptsProject 数据库主键 createCptsProject 创建工程 CPTS cptsProject 数据库主键 deleteCptsProject 删除工程 CPTS cptsProject 数据库主键 modifyCptsProject 修改工程 CPTS cptsTask 数据库主键 createCptsTask 创建任务 CPTS cptsTask 数据库主键 deleteCptsTask 删除任务 CPTS cptsTask 数据库主键 modifyCptsTask 修改任务 CPTS cptsTemp 数据库主键 createCptsTemp 创建事务 CPTS cptsTemp 数据库主键 deleteCptsTemp 删除事务 CPTS cptsTemp 数据库主键 modifyCptsTemp 修改事务 CPTS cptsCase 数据库主键 createCptsCase 创建用例 CPTS cptsCase 数据库主键 deleteCptsCase 删除用例 CPTS cptsCase 数据库主键 modifyCptsCase 修改用例 CPTS cptsVariable 数据库主键 setVaribale 创建变量 CPTS cptsVariable 数据库主键 updateVaribale 修改变量 CPTS cptsVariable 数据库主键 deleteVaribale 删除变量 CPTS cptsTask 数据库主键 tempDebug 任务用例debug CPTS cptsTaskStatus 数据库主键 updateTaskStatus 更新任务状态

平台通过多种算子迁移适配、算子调优能力和工具链,实现国产化硬件下模型在预训练、微调、推理下的性能对齐NV80%及以上。 平台针对国产化硬件910B进行主流模型的迁移适配和性能优化，多数训练性能达到A800的90%及以上，推理性能达到A10或A100的80%及以上。 目前模型广场所有模型均达到国产化适配的性能标准。 主流模型适配结果示例： 多数模型基于昇腾的训练可达A800的90%以上，举例如下： Llama38Binstruct、ChatGLM36B 性能对标可达90% Qwen272BInstruct 性能对标可达100% 部分模型基于昇腾910B的推理可达A800的80%以上，举例如下： Qwen1.8BChat 性能对标可达110.32% Llama213BChat 性能对标可达91.28% 主流适配模型清单参考如下： 大语言： DeepSeek：DeepSeekR1系列、DeepSeekV3系列 Llama：Llama系列、Llama2系列、Llama3系列 通义千问：Qwen系列、Qwen1.5系列、Qwen2系列、Qwen2.5系列、Qwen3系列 智谱：ChatGLM2系列、ChatGLM3、GLM4系列 书生浦语：InternLM系列、InternLM2系列 百川：Baichuan系列、Baichuan2系列、BaichuanTurbo 电信星辰：TeleChat系列、TeleChat2系列 其他：AquilaChat7B、Gemma29BChat等 多模态： OpenClip ChineseCliP Blip2 VisualGLM6B StableDiffusionV1.5 StableDiffusionV2.1 QwenVLChat InternVLChatV1.5

配置安全组白名单 操作步骤 1. 在控制台点击实例所在安全组，入方向规则点击添加规则，在弹出的填写框内的端口处填写“5601,9200,9000”，选择需要配置的策略为IPv4或IPv6，在源地址下方的IP地址格子中填写需要访问设备的出口公网IP地址，点击确定保存。 2. 成功后会在安全组增加对应规则，此时可以通过绑定的公网IP地址端口访问对应对象。 通过公网IP地址接入实例 公网访问配置完成后，实例将会获得一个“公网访问”的IP地址，用户可以通过公网IP地址和端口接入实例。 例如，Dashboards可直接点击页面链接进行访问。 OpenSearch实例可以通过Curl命令查询索引信息： plaintext curl u username:password k ' 其中IP为绑定的公网IP，username和password表示实例的用户名和密码。 开启/关闭实例HTTPS访问 云搜索服务默认开启对OpenSearch实例的HTTPS访问模式，仅在该模式下可以绑定公网IP，您可关闭开关，实例将切换为HTTP访问模式，该模式下实例仅可通过内网访问，已绑定的公网IP将自动解绑。 该功能仅针对购买云搜索服务V1.2.0以上版本适用。

本文为您介绍VPN连接的产品定义和产品架构。 天翼云VPN连接是一款基于Internet的VPN网络连接服务，VPN（Virtual Private Network）即虚拟专用网络，用于在远端用户和VPC（Virtual Private Cloud）之间建立一条安全加密的通信隧道，使远端用户通过VPN直接使用VPC中的业务资源。 根据使用的加密协议不同，VPN连接可以提供IPsec VPN和SSL VPN两种连接方式。 IPsec VPN IPsec（IP Security）是一种IP层的隧道加密技术，通过使用加密算法在不同的网络之间建立加密的安全隧道。默认情况下，在VPC中的弹性云主机无法与您自己的数据中心或私有网络进行通信。如果您需要将VPC中的弹性云主机和您的数据中心或私有网络连通，可以启用IPsec VPN功能。 通过IPsec VPN连接可以实现企业数据中心、办公网络等与虚拟私有云（VPC）建立安全可靠的连接。假设您在天翼云中已经申请了VPC，并创建了2个子网（192.168.1.0/24, 192.168.2.0/24），您在自己的数据中心网络中也有2个子网（192.168.3.0/24, 192.168.4.0/24）。您可以通过IPsec VPN使VPC内的子网与数据中心的子网互相通信。 SSL VPN SSL VPN（Secure Sockets Layer VPN）是基于互联网线路，通过SSL加密通道将用户终端与天翼云VPC建立安全可靠连接的服务，满足客户便捷接入VPC的需求。 假设您在天翼云中已经申请了VPC，并创建了2个子网（192.168.1.0/24, 192.168.2.0/24），当您有移动终端访问VPC业务的需求时，您可以通过SSL VPN实现便捷安全的网络接入。

本文介绍云容器引擎Serverless版的产品定义。 云容器引擎Serverless版是天翼云提出的Serverless Kubernetes容器服务。与传统Kubernetes集群相比，Serverless集群无需购买节点即可直接部署容器应用，同时无需对集群进行节点维护和容量规划，降低了Kubernetes使用门槛，让用户更专注于应用程序，而不是管理底层基础设施。Serverless集群提供完善的Kubernetes兼容能力，您可以轻松迁移已有的Kubernetes应用到Serverless集群上，并且根据应用配置的CPU和内存资源量进行按需付费。 Serverless集群中的每个Pod都是基于天翼云弹性容器实例ECI运行，实现了安全隔离的容器运行环境。每个容器底层采用轻量级虚拟化安全沙箱技术，实现了容器实例间的强隔离，避免了容器实例间相互影响的问题。Serverless集群还具有易用性、灵活性和安全性等优点，能够满足不同规模应用场景的需求，并提供了完善的监控、日志和核心运维能力。

本页介绍了文档数据库服务在安全上的表现。 文档数据库服务是天翼云提供的一款安全、可信的文档数据库服务。文档数据库服务支持多种架构，同时拥有云上高可用、高可靠、高安全、扩缩容、快速备份恢复、监控等数据库关键能力，为客户提供完善的性能监控体系和多重安全防护措施，并配备专业的数据库管理平台，让用户能够轻松设置、操作和扩展文档数据库服务。 为了保障操作安全、数据安全及服务运行安全，支撑客户安全有序开展业务活动，天翼云禁止运维人员删除资源时同时删除实例和备份数据，禁止运维人员未经客户书面授权，接入客户数据库实例，禁止运维人员对客户数据进行处理和转移。 文档数据库服务为保障租户数据库的可靠性和安全性提供了多个特性，如VPC、安全组、权限设置、SSL连接、自动/手动备份、跨可用区部署等功能。这些特性可以帮助租户更好地管理和保护其数据库。 网络隔离 文档数据库服务实例运行在独立的 VPC 内，该VPC不与其他实例共享。在创建完实例后，文档数据库服务会为租户分配此子网的 IP 地址，用于连接数据库。文档数据库服务实例运行在租户独立的虚拟私有云内，可提升文档数据库服务实例的安全性。 存储隔离 存储资源按照租户维度进行分配，每个租户的实例与其他租户的实例是相互独立的，并且有资源隔离，互不影响。

FTP/SFTP远程备份失败怎么办？ 问题现象 云堡垒机配置了FTP/SFTP远程备份，报“请检查服务器密码或网络连接情况”错误，不能启动远程备份。 选择备份具体某一天日志，提示“备份正在执行”，但远程服务器未接收到该备份文件。 可能原因 原因一：云堡垒机配置的FTP/SFTP服务器账户或密码错误，导致远程备份失败。 原因二：云堡垒机与FTP/SFTP服务器的网络连接不通，导致远程备份失败。 原因三：FTP/SFTP服务器用户目录限制文件上传，导致远程备份失败。 原因四：被选择日期当天的运维日志量大，备份传输速率慢，长时间未备份完成，导致在远程服务器不能及时查看备份文件。 解决办法 原因一： 登录ECS管理控制台，VNC方式登录一台Linux主机，通过Linux主机登录FTP/SFTP服务器，验证服务器账户和密码。验证成功后，重新配置FTP/SFTP服务器远程备份账户和密码，尝试备份。 原因二： 登录云堡垒机系统，通过网络诊断，检查与FTP/SFTP服务器之间网络连接情况。 网络连接正常，请排查其他可能原因。 网络连接异常，请参考CBH安全组规则，检查云堡垒机和FTP/SFTP服务器主机安全组是否放开22端口；检查FTP/SFTP服务器主机的ACL是否放开22端口，并添加云堡垒机公网IP（即弹性IP）为允许。 原因三： 开启用户目录上传权限。 登录云堡垒机系统，选择“系统 > 数据维护 > 日志备份”，重新正确配置FTP/SFTP服务器的“存储路径”。 说明 “存储路径”置空表示备份内容存放到FTP/SFTP服务器用户的主目录下，例如绝对路径/home/用户名；配置的路径需以英文句号开头，例如配置路径为 ./test/abc，则其绝对路径为/home/用户名/test/abc。 原因四： 请您耐心等待，建议备份启动后的第二天再查看服务器上备份文件。

混合云一体机集成天翼云平台，提供计算、存储、网络、监控、管理等全栈云服务。 计算 弹性云主机：由CPU、内存、镜像、云硬盘组成，是一种可随时获取、即开即用、可弹性扩展的计算服务器。一体机支持创建通用型、计算增强型、内存优化型多种云主机类型，同时支持云主机组、云主机快照等功能。 GPU云主机：结合了GPU计算力与CPU计算力，满足客户在人工智能、高性能计算、专业图形图像处理等场景中的需求。一体机通过扩展GPU服务器的方式支持GPU云主机，GPU云主机支持虚拟化、直通技术。 标准裸金属：具有物理资源独享、高性能的特点，适合部署核心数据库等关键系统。一体机通过虚拟裸金属网关实现对物理服务器的统一纳管。 镜像服务：是弹性云主机实例可选择的运行环境模板，一般包括操作系统和预装软件。云镜像服务包括公共镜像、私有镜像及共享镜像。 弹性伸缩服务：通过策略自动调整计算资源的管理服务。用户通过管理控制台设定弹性伸缩组策略，弹性伸缩服务将根据预设规则自动调整伸缩组内的云主机数量，降低人为反复调整资源以应对业务变化和高峰压力的工作量，帮助用户节约资源和人力成本。 存储 云硬盘：基于分布式架构的、可弹性扩展的数据块级存储设备。可为云主机提供系统盘和数据盘，满足文件系统、数据库或者其他应用等的存储。 云硬盘备份：针对云主机的系统盘、数据盘提供的备份服务。用户可对存储重要数据的磁盘进行备份，并在云主机磁盘故障、用户误删数据、遭到黑客攻击等情况下将备份数据快速恢复到源盘，有效保证用户数据的安全性。 云主机备份：支持多云硬盘一致性快照技术的备份服务，支持利用备份数据恢复弹性云主机数据，提供数据备份和操作恢复的整体方案，具备实时增量备份、快速数据恢复能力，有效保障用户数据的安全性和正确性，确保业务安全。 文件存储：提供按需扩展的高性能文件存储，可为多个弹性云主机、标准裸金属提供共享访问，具备高可用性和高数据持久性。 对象存储：存储非结构化数据（图片、音视频、文本等格式文件），根据客户需求空间确定存储容量。 网络 扁平网络：可与物理机网络直通，也可通过物理网络设置网关和路由直接访问互联网的网络。 虚拟私有云：为云主机等云上资源提供可配置、可管理的虚拟网络环境，不同虚拟私有云之间二层逻辑隔离。 弹性IP：将弹性IP地址和子网中关联的弹性云主机绑定和解绑，可以实现VPC中的弹性云主机通过固定的公网IP地址与互联网互通。 负载均衡：通过将访问流量自动分发到多台云主机，扩展对外的服务能力，解决大量并发访问服务器的问题，实现更高水平的应用程序容错性能。 对等连接：是指两个VPC之间的网络连接。用户可以使用私有IP地址在两个VPC之间进行通信，就像两个VPC在同一个网络中一样。用户可以在自己租户的VPC之间创建对等连接，也可以在自己租户的VPC与其他租户的VPC之间创建对等连接。 安全组：是云主机级别的流量防护规则，默认安全组default放通全部协议全部端口的流出。 ACL：是一个子网级别的流量防护规则，用户可以自定义设置网络ACL规则，并将网络ACL与子网绑定，实现对子网中云主机实例流量的访问控制。通过与子网关联的出方向/入方向规则控制出入子网的流量数据。 NAT网关：能够为虚拟私有云内的弹性云主机提供网络地址转换服务，使多个弹性云主机可以共享使用弹性IP访问Internet。 VPN连接（选配）：基于Internet、通过IPSec加密通道连接用户的企业数据中心和一体机的虚拟私有云（VPC），实现两侧资源的内网互通，帮助用户轻松实现混合云环境的部署。 监控 云主机监控：包括CPU使用率、网络流入流出流量的速率、内存使用率、磁盘分配率、磁盘使用率、磁盘剩余存储量等图表数据。 云硬盘监控：包括磁盘读速率、磁盘读请求速率、磁盘写速率、磁盘写请求速率。 弹性IP监控：包括流入流出带宽、网络流入流出速率。 负载均衡监控：包括入网流量、出网流量、出网带宽、活跃连接数、新建连接数、并发连接数等。 管理 云服务：为用户提供资源创建、管理能力，比如创建云主机、管理VPC等。 运维监控：支持通过拓扑、大屏、仪表盘等形式提供告警、性能监控、日志等基础运维服务。 运营管理：匹配组织架构，提供用户管理、配额管理、角色管理等管理能力。

服务器安全卫士（原生版）支持的系统OS有哪些？ 天翼云服务器安全卫士（原生版）产品支持64位的Linux和Windows系统服务器的防护，详见支持的操作系统。 购买了服务器安全卫士（原生版）是否能保证系统通过网络安全等级保护测评（等保）？ 网络安全等级保护测评为综合性测评，服务器安全卫士（原生版）只是满足等保中安全计算环境部分对云主机安全的相关要求，其他层面的安全要求需要匹配其他安全设备、配置安全策略来满足。 服务器安全卫士（原生版）是否能以软件形式线下交付？ 不支持线下软件的形式交付。 服务器安全卫士（原生版）和云防火墙一起使用需要注意什么问题？ 服务器前面有防火墙的话，需注意是否做了源IP nat，如果有暴力破解会封禁IP，如果做了nat会封禁nat后的IP，可能影响业务。

本节介绍IPSec VPN的产品介绍。 功能介绍 IPsec VPN产品用于客户防火墙或其他VPN设备与云侧IPsec VPN实例建立加密隧道实现数据入云安全传输，完成客户侧办公区与云侧VPC的快速安全互联。有别于iVPN实例，iVPN实例在逻辑上属于客户侧资源，IPsec VPN实例在逻辑上属于云侧资源。同时IPsec VPN与翼甲防火墙产品相比，不需要绑定弹性IP即可建立加密隧道。 使用限制 （1）IPsec VPN支持关联的客户侧网段与各VPC子网网段重叠，但是需要用户确保客户侧与云侧不存在IP冲突设备，因此建议用户在使用过程中避免客户侧与云侧网段重叠。 （2）IPsec VPN只能加载IPsec VPN实例所在资源池VPC，加载跨资源池VPC需要结合跨域互联使用。 （3）IPSec VPN暂时只支持IKEv2协议。

参数类型 参数 说明 基础配置 计费模式 实例支持包周期和按需计费模式。 包周期：根据实例购买时长，一次性支付实例包周期费用。 按需计费：根据实际使用时长计费，按小时出账。 基础配置 订购周期 在包年包月模式下，您需要选择购买时长。 基础配置 当前区域 选择实例的所在区域。 不同区域的云服务产品之间内网互不相通。请就近选择靠近您业务的区域，可减少网络时延，提高访问速度。 基础配置 可用区 选择实例所在工作区域下关联的可用区。 支持多可用区部署，购买地域具备3个及以上可用区，需要勾选1个或3个，如果不足3个可用区，则根据地域可用区情况可购买1或2个。 网络配置 企业项目 企业项目提供统一的云资源管理能力，支持对项目及项目内的资源、成员进行管理。此处请根据用户的资源管理需求，选择云搜索实例的企业项目归属。仅支持选择用户有权限的企业项目。默认为default，如果没有可选项，请由主账号在统一身份认证处进行赋权。 网络配置 虚拟私有云 指定实例所在的虚拟专用网络（VPC），实现不同业务的网络隔离。如您没有合适的VPC，请前往创建虚拟私有云页面创建完成后，回当前页面刷新后选择。 网络配置 子网 实例使用子网实现与其他网络的隔离，并独享所有网络资源，以提高网络安全。 选择当前虚拟私有云下实例需要的子网。 网络配置 安全组 安全组为实例提供安全的网络访问控制策略。 为了顺利部署实例，我们将为您选择的安全组默认配置下述规则： 规则1（入方向）：允许远端198.19.128.0/20 以TCP协议访问端口165535 ，规则优先级为1。 规则2（入方向）：允许远端192.168.0.0/24（实际网段地址，以客户创建的VPC子网网段地址为准）以TCP协议访问端口165535，规则优先级为1。 规则3（出方向）：将允许出方向所有访问，规则优先级为100。 配置实例 实例名称 您可自定义实例名称，可输入的字符范围为长度为0~32个字符，只能包含数字、字母、中划线（）和下划线（），且必须以字母或数字开头。 配置实例 实例类型 云搜索服务支持Elasticsearch和OpenSearch两种组件。 配置实例 实例版本 选择所需的集群版本，支持的版本以页面可选项为准。 配置实例 实例密码设置 设置OpenSearch的管理员访问密码。 实例内账号和角色请登录Dashboards的进行设置。 配置实例 HTTPS设置 实例通信方式选择 开启HTTPS，访问实例将进行通讯加密，可以接入公网； 若关闭HTTPS访问，将使用HTTP协议与实例通信，无法保证数据安全性，HTTP协议模式下，实例不可接入公网。 该模式可以在实例开通后进入“运行中”状态时在安全设置功能中进行修改。 选购资源 实例节点数 实例中需要部署数据节点数，请以页面可下单数量上限为准。 选购资源 CPU架构 支持X86类型。 选购资源 节点规格 实例的节点规格，可按需选购，同一实例仅支持一种规格，请确认后下单。 选购资源 节点存储规格 选择存储类型，支持的类型可能随资源池不同有差异，请以页面可选的为准，性能参考。 选购资源 单节点存储量 您可根据业务数据容量评估，选购合适的单节点存储量，创建完成后，不支持缩容节点存储容量，请基于业务量合理选择容量。 选购资源 图形化访问节点规格 云搜索服务会默认为您开通一个小规格节点部署Dashboards和Cerebro组件。该节点正常计费。 选购资源 专属节点规格 您可根据需要选择是否在当前实例加装专属master、专属协调节点或冷数据节点，并选择节点规格，专属master和专属协调节点不支持调整存储空间。专属master限制3节点，专属协调节点和冷数据节点上限请以页面下单为准。 专属节点开通后不可删除，也可通过扩容功能加装。

参数类型 参数 说明 基础配置 计费模式 实例支持包周期和按需计费模式。 包周期：根据实例购买时长，一次性支付实例包周期费用。 按需计费：根据实际使用时长计费，按小时出账。 基础配置 订购周期 在包年包月模式下，您需要选择购买时长。 基础配置 当前区域 选择实例的所在区域。 不同区域的云服务产品之间内网互不相通。请就近选择靠近您业务的区域，可减少网络时延，提高访问速度。 基础配置 可用区 选择实例所在工作区域下关联的可用区。 支持多可用区部署，购买地域具备3个及以上可用区，需要勾选1个或3个，如果不足3个可用区，则根据地域可用区情况可购买1或2个。 网络配置 企业项目 企业项目提供统一的云资源管理能力，支持对项目及项目内的资源、成员进行管理。此处请根据用户的资源管理需求，选择云搜索实例的企业项目归属。仅支持选择用户有权限的企业项目。默认为default，如果没有可选项，请由主账号在统一身份认证处进行赋权。 网络配置 虚拟私有云 指定实例所在的虚拟专用网络（VPC），实现不同业务的网络隔离。如您没有合适的VPC，请前往创建虚拟私有云页面创建完成后，回当前页面刷新后选择。 网络配置 子网 实例使用子网实现与其他网络的隔离，并独享所有网络资源，以提高网络安全。 选择当前虚拟私有云下实例需要的子网。 网络配置 安全组 安全组为实例提供安全的网络访问控制策略。 为了顺利部署实例，我们将为您选择的安全组默认配置下述规则： 规则1（入方向）：允许远端198.19.128.0/20 以TCP协议访问端口165535 ，规则优先级为1。 规则2（入方向）：允许远端192.168.0.0/24（实际网段地址，以客户创建的VPC子网网段地址为准）以TCP协议访问端口165535，规则优先级为1。 规则3（出方向）：将允许出方向所有访问，规则优先级为100。 配置实例 实例名称 您可自定义实例名称，可输入的字符范围为长度为0~32个字符，只能包含数字、字母、中划线（）和下划线（），且必须以字母或数字开头。 配置实例 实例类型 云搜索服务支持Elasticsearch和OpenSearch两种组件。 配置实例 实例版本 选择所需的实例版本，支持的版本以页面可选项为准。 配置实例 实例密码设置 设置Elasticsearch的管理员访问密码。 实例内账号和角色请登录Kibana进行设置。 配置实例 HTTPS设置 实例通信方式选择： 开启HTTPS，访问实例将进行通讯加密，可以接入公网； 若关闭HTTPS访问，将使用HTTP协议与实例通信，无法保证数据安全性，HTTP协议模式下，实例不可接入公网。 该模式可以在实例开通后进入“运行中”状态时在安全设置功能中进行修改。 选购资源 实例节点数 实例中需要部署节点数，上限请以页面可下单数量为准。 选购资源 CPU架构 目前支持X86类型。 选购资源 节点规格 实例的节点规格，可按需选购，同一实例仅支持一种规格，请确认后下单。 选购资源 节点存储规格 选择存储类型，支持的类型可能随资源池不同有差异，请以页面可选的为准。 选购资源 单节点存储量 您可根据业务数据容量评估，选购合适的单节点存储量，创建完成后，不支持缩容节点存储容量，请基于业务量合理选择容量。 选购资源 图形化访问节点规格 云搜索服务会默认为您开通一个小规格节点部署Kibana、Cerebro节点。该节点正常计费。 选购资源 专属节点规格 您可根据需要选择是否在当前实例加装专属master、专属协调节点或冷数据节点，并选择节点规格，专属master和专属协调节点不支持调整存储空间。专属master限制3节点，专属协调节点和冷数据节点上限请以页面可下单数量为准。 专属节点开通后不可删除，也可通过扩容功能加装。

本文主要介绍 连接问题。 选择和配置安全组 Kafka实例支持使用内网通过同一个VPC访问、通过DNAT访问和公网访问，访问实例前，需要配置安全组。 使用内网通过同一个VPC访问实例 步骤 1 客户端和实例是否使用相同的安全组？ 是，如果保留了创建安全组后，系统默认添加的入方向“允许安全组内的弹性云主机彼此通信”规则和出方向“放通全部流量”规则，则无需添加其他规则。否则，请添加下表所示规则。 表 安全组规则 方向 协议 端口 源地址 说明 入方向 TCP 9092 0.0.0.0/0 使用内网通过同一个VPC访问Kafka实例（关闭SSL加密）。 入方向 TCP 9093 0.0.0.0/0 使用内网通过同一个VPC访问Kafka实例（开启SSL加密）。 否，执行步骤2。 步骤 2 参考如下配置安全组规则。 假设客户端和Kafka实例的安全组分别为：sg53d4、DefaultAll。以下规则，远端可使用安全组，也可以使用具体的IP地址，本章节以安全组为例介绍。 客户端所在安全组需要增加如下规则，以保证客户端能正常访问Kafka实例。 表 安全组规则 方向 策略 协议端口 目的地址 出方向 允许 全部 DefaultAll 图配置客户端安全组 Kafka实例所在安全组需要增加如下规则，以保证能被客户端访问。 表安全组规则 方向 策略 协议端口 源地址 入方向 允许 全部 sg53d4 图 配置Kafka实例安全组

应用运维方式 只要数据库与应用发布服务器网络连接通畅，且应用发布服务器与云堡垒机网络连接通畅，应用运维方式可以Web运维所有类型数据库，支持代填数据库的账户和密码。 1. 管理员创建数据库应用资源。 选择“ 资源 > 应用发布 ”，配置数据库类型应用，生成相应数据库资源账户。 2. 管理员授权用户访问控制权限。 选择“ 策略 > 访问控制策略 ”，授权用户访问数据库资源权限，并关联已创建的数据库资源账户。 3. 运维用户登录数据库资源。 选择“ 运维 > 应用运维 ”，授权用户登录数据库资源。 运维用户可对数据库资源运维会话视频记录，并可在历史会话下载会话视频。 如何通过云堡垒机纳管RDS数据库? CBH支持通过云堡垒机纳管同一VPC下的RDS数据库，达到通过云堡垒机管理数据库资源的目的。本章节为您讲解通过云堡垒机纳管RDS数据库的详细操作，如需了解纳管其他主机资源的操作。 约束限制 仅专业版云堡垒机实例支持直接纳管DB2、MySQL、SQL Server和Oracle引擎类型数据库。 前提条件 已购买云堡垒机实例，且能正常登录云堡垒机系统。若需通过命令运维数据库，即通过主机运维方式管理数据库，请购买专业版云堡垒机实例。 RDS实例与云堡垒机之间网络连接畅通。云堡垒机实例安全组已放开入方向33306端口，且数据库安全组允许云堡垒机IP访问。

本节介绍了在移动设备上登录Linux云主机的操作场景、前提条件、IOS设备上登录Linux云主机、Android设备上登录Linux云主机。 操作场景 本节操作介绍如何在移动设备上连接Linux实例。 以iTerminalSSH Telnet为例介绍如何在iOS设备上连接 Linux 实例，详细操作请参考IOS设备上登录Linux云主机。 以JuiceSSH为例介绍如何在Android设备上连接 Linux 实例，详细操作请参考Android设备上登录Linux云主机。 前提条件 云主机状态为“运行中”。 已获取Linux云主机用户名和密码。 弹性云主机已经绑定弹性IP，绑定方式请参见绑定弹性公网IP。 所在安全组入方向已开放22端口，配置方式请参见配置安全组规则。 IOS设备上登录Linux云主机 如果您使用iOS设备，请确保已经安装了SSH客户端工具，我们以Termius为例。本示例中使用CentOS 7.6操作系统，使用用户名和密码进行认证。 1. 启动Termius，单击New Host。 图 New Host 2. 在SSH页面上，输入连接信息后，单击 Save。需要输入的连接信息包括： − Alias：指定Host名称，如本例中，设置为ecs01。 − Hostname：输入需要连接的 Linux 实例的公网IP地址。 − Use SSH：打开SSH登录配置。 − Host：输入需要连接的Linux实例的公网IP地址。 − Port：输入端口号22。 − 用户名：输入用户名root。 − 密码：输入实例登录密码。 图 输入连接信息 3. 单击右上角的“Save”，保存登录信息，在Hosts页面，单击连接的名称远程连接服务器。 图 保存登录信息 当出现命令行界面时，您已经成功地连接了Linux云主机。

开通和接入域名 面向对象：即将开通和接入域名的客户。 接入域名 说明 开通Web应用防火墙（边缘云版）服务 介绍如何开通WAF服务，包括账户实名认证、开通服务的开通步骤。 添加服务域名 通过图文介绍进入如何接入服务域名。 验证域名归属权 通过对DNS解析验证、文件验证两种验证方式的详细操作说明，方便客户选择合适的方式做域名归属权验证。 配置CNAME 通过配置CNAME的实例，帮助客户直观了解配置CNAME的过程和校验注意事项。 设置回源白名单 介绍在源站IP暴露的情况下，如何设置保护源站。 设置安全策略和查看攻击报表 面向对象：完成域名接入后，准备配置安全防护策略和查看防护效果的客户。 设置安全策略 说明 网站防护配置 本专题按Web安全、Bot管理、访问控制/限流等模块化主题，非常详尽地介绍Web应用防火墙（边缘云版）已支持的功能和服务，帮助客户深入理解Web应用防火墙（边缘云版）功能，指导客户与自己的业务相结合，配置合适的防护策略。 统计分析 本专题按统计分析、攻击报表等主题，详尽的介绍如何查看攻击日志、业务日志等。

检测Linux操作系统安全漏洞是否已修补完成 1. 单击spectremeltdownchecker获取spectremeltdownchecker.sh检测脚本。 2. 将步骤1获取的脚本上传至云主机。 3. 在云主机执行以下命令，并根据脚本提示判断Meltdown或Spectre漏洞是否已经修复。 chmod +x spectremeltdownchecker.sh sudo bash spectremeltdownchecker.sh 回显信息如下图所示。 图 执行脚本后的回显信息 OK为已修复漏洞，KO为未修复，如上图所示代表CVE20175753、CVE20175715、CVE20175754漏洞均已修复。 打开或关闭Linux操作系统的安全漏洞补丁开关 CPU的预测执行是一种性能优化技术，因此修复Meltdown或Spectre漏洞后可能导致在特定工作负载下的性能下降。 如果您认为漏洞修复对系统的性能影响不可接受或者系统有更好的保护机制，希望可以禁用部分或全部漏洞安全保护策略，那么可以参考以下操作启用或者禁用安全保护策略。 您可以根据如下具体情况配置系统来达到理想的安全策略： Meltdown漏洞 采取页表隔离pti（Page Table Isolation）来控制内核页表隔离功能，此功能适用于CVE20175754。 Spectre漏洞 采取间接分支限制预测ibrs（Indirect Branch Restricted Speculation）控制SPECCTRL模型特定寄存器（MSR）中的IBRS功能，结合retpoline，及间接分支预测障碍ibpb（Indirect Branch Prediction Barriers）控制PREDCMD模型特定寄存器（MSR）中的IBPB功能，此功能适用于CVE20175715。 说明 CVE20175753漏洞是通过内核补丁修复的，它无法禁用，并且它在Red Hat的性能测试中没有显示出任何可见的影响。 关闭Meltdown安全漏洞补丁 如果您想降低开启pti对系统的性能影响或者系统有更好的保护机制，您可以根据以下步骤操作： a. 根据不同的操作系统修改内核参数： CentOS、EulerOS、Ubuntu、Fedora、Red Hat：添加内核参数nopti Debian、OpenSUSE：添加内核参数ptioff b. 重启云主机。 关闭Spectre安全漏洞补丁 如果您认为Spectre漏洞修复对系统的性能影响不可接受或者系统有更好的保护机制，您可以根据以下步骤操作： a. 根据不同的操作系统修改内核参数： CentOS、EulerOS、Fedora、Debian、Red Hat、OpenSUSE：添加内核参数spectrev2off Ubuntu：添加内核参数nospectrev2off b. 重启云主机。 如果您使用的是以下操作系统，可以前往官网查询更多信息。 RedHat： SUSE： Ubuntu：

本文介绍扫描镜像的详细步骤。 为了保障云原生供应链安全，您需要购买容器安全卫士实例，并进行安全扫描，通过仪表盘查看访问统计信息和攻击防护记录，掌握业务的安全状况。 步骤一：购买容器安全卫士实例 详细步骤请参见购买容器安全卫士。 步骤二 ：安装Sever/Agent 详细步骤请参见安装Server/Agent。 步骤三：扫描镜像 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“镜像安全 > 镜像管理”，在镜像管理页面可以对仓库镜像、节点镜像进行安全扫描。 3. 进入“仓库管理”页面，单击“添加仓库”，添加镜像仓库。 4. 扫描节点镜像。 1. 进入“节点镜像”页面，单击“更新镜像”，获取仓库镜像数据。 2. 单击“扫描镜像”，对镜像进行安全扫描。 5. 扫描仓库镜像。 1. 进入“仓库镜像”页面，单击“更新镜像”，获取仓库镜像数据。 2. 单击“扫描镜像”，对镜像进行安全扫描。 6. 在左侧导航栏选择“镜像安全 > 镜像策略”，进入页面配置镜像策略，配置漏洞、文件、软件包规则，防止风险流入供应链。 7. 在左侧导航栏选择“镜像安全 > 镜像设置”，进入页面配置镜像扫描规则、历史镜像保留时长、及周期性扫描规则。