本节介绍了容器镜像服务常见问题:购买类。 什么是命名空间/项目？ 命名空间定义了属性与镜像存储空间。用户需要首先建立命名空间，才能在命名空间下建立镜像仓库，并上传镜像。 说明 旧版本将命名空间定义为项目，两者本质是一致。 容器镜像服务最多能存储多少个镜像？ 容器镜像服务对存储的对象数量没有限制，但是镜像所占用空间之和无法超过镜像所在的总空间，您可以根据需要合理安排空间的使用。 docker push将镜像推送到容器镜像服务使用的什么协议？ docker push将镜像推送到容器镜像服务使用的是HTTPS协议。HTTPS是一种安全超文本传输协议，通过计算机网络进行安全通信的传输协议，HTTPS 利用 SSL/TLS 来加密数据包，提供身份认证、保护交换数据的隐私与完整性。

本章节主要介绍隐私安全相关问题。 DLI 是否存在Apache Spark 命令注入漏洞（CVE202233891）？ 不存在。 因为DLI没有启动spark.acls.enable配置项，所以不涉及Apache Spark 命令注入漏洞（CVE202233891）。

本文介绍天翼云AOne会议的产品定义，以便您更快了解AOne会议。 AOne会议 AOne会议是基于天翼云实时音视频网络，精心打造的一款音视频会议软件，支持音视频互动、会议管控、会议录制、一键直播等功能。采用全链路安全加密技术，为用户提供“安全稳定、高效智能”的视频会议服务。 产品架构图 说明 关于天翼云AOne会议的客户端下载，请前往客户端下载。 关于天翼云AOne会议的使用说明，请前往用户指南。 关于天翼云AOne会议的计费方案，请参考计费说明。

状态 说明 正常 数据库实例运行正常。 异常 数据库实例不可用。 创建中 正在创建数据库实例。 创建失败 数据库实例创建失败。 重启中 按照用户请求，或修改需要重启才能生效的数据库参数后，重启实例中。 主备切换中 正在切换副本集实例的主备节点。 节点扩容中 正在扩容集群实例的shard或mongos节点个数。 删除节点中 正在删除添加失败的节点。 存储扩容中 正在扩容实例的磁盘大小。 规格变更中 正在变更实例的CPU和内存规格。 备份中 正在创建备份。 恢复检查中 该实例下的备份正在恢复到新实例。 修改内网地址中 正在修改节点的内网IP。 修改端口号中 正在修改数据库实例的数据库端口。 修改安全组中 正在修改数据库实例的安全组。

本文为您介绍如何使用ECI加载DeepSeek R1。 DeepSeek R1介绍 DeepSeekR1 是一款强化学习（RL）驱动的推理模型，解决了模型中的重复性和可读性问题。在 RL 之前，DeepSeekR1 引入了冷启动数据，进一步优化了推理性能。它在数学、代码和推理任务中与 OpenAIo1 表现相当，并且通过精心设计的训练方法，提升了整体效果。 使用限制 模型 推荐规格(云主机) 支持资源池 DeepSeekR1:1.5b 内存：4GB起 所有ECI已上线资源池 DeepSeekR1:7b 内存：16GB起 所有ECI已上线资源池 DeepSeekR1:8b 内存：16GB起 所有ECI已上线资源池 DeepSeekR1:14b 内存：32GB起 所有ECI已上线资源池 DeepSeekR1:32b 内存：64GB起 起临时存储空间：100GB起 所有ECI已上线资源池 DeepSeekR1:70b 内存：128GB起 临时存储空间：150GB起 所有ECI已上线资源池 ECI弹性容器实例接入DeepSeek R1最佳实践 1. 订购弹性容器实例，以最小模型1.5b为例。 2. 选择开源容器镜像(opensource/openwebuideepseekr1) 。 3. 打开容器高级设置，自定义环境变量。 其中PORT代表Open WebUI服务暴露的端口，ENABLEOPENAIAPI代表是否启用OpenAI的API，RAGEMBEDDINGENGINE代表RAG（Retrieval Augmented Generation：检索增强生成）使用的嵌入式引擎。 说明 国内环境建议按照示例配置。 4. 点击下一步，绑定弹性IP。支持自动创建或绑定已有EIP。 5. 确认订单，等待容器实例Running。 6. 检查端口连通性。 7. 安全组放开指定端口(PORT环境变量)。 8. 通过浏览器访问Open WebUI，如 EIP:PORT，点击Get started。 9. 创建管理员帐号/密码登入。 10. 进入主界面。 11. 模型验证。

信息的获取 云网平台获取 登录云网门户，在“控制台”>“账号中心”>“安全设置”>“用户AccessKey”点击“查看”获取。 基本签名流程 ctyuneopak/ctyuneopsk基本签名流程： 1. 待签字符串：使用规范请求和其他信息创建待签字符串。 2. 计算密钥：使用header、ctyuneopsk、ctyuneopak来创建hmac算法的密钥。 3. 计算签名：使用第三步的密钥和待签字符串在通过hmacsha256来计算签名。 4. 签名应用：将生成的签名信息作为请求消息头添加到HTTP请求中。 创建待签名字符串 待签名字符串的构造规则如下： 待签名字符串需要进行签名的header排序后的组合列表+ "n" + 排序的query + "n" + toHex(sha256(原封的body)) 需要进行签名的header排序后的组合列表（排序的header） header 以 headername:headervalue来一个一个通过n拼接起来，EOP是强制要求ctyuneoprequestid和eopdate这个头作为header中的一部分，并且必须是待签名header里的一个。需要进行签名算法的header需要进行排序（将它们的headername以26个英文字母的顺序来排序），将排序后得到的列表进行遍历组装成待签名的header。 排序的query query以&作为拼接，key和值以连接，排序规则使用26个英文字母的顺序来排序，Query参数全部都需要进行签名 toHex(sha256(原封的body)) 传进来的body参数进行sha256摘要，对摘要出来的结果转十六进制 排序的header例子： 假设你需要将ctyuneoprequestid、eopdate、host都要签名，则待签名的header构造出来是： ctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n ctyuneoprequestid、eopdate和host的排序就是这个顺序。 如果你加入一个ccad的header，同时这个header也要是进行签名，则待签名的header组合： ccad:123nctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n

本章节主要介绍Redis缓存类型的主备实例。 DCS Redis缓存类型都支持主备实例，本章节主要介绍Redis缓存类型的主备实例，有四个版本选择，Redis3.0、Redis4.0、Redis5.0和Redis6.0。 主备实例特点 DCS的主备实例在单机实例基础上，增强服务高可用以及数据高可靠性。 主备实例具有以下特性： 1.持久化，确保数据高可靠 实例默认包含一个主节点和一个备节点，都默认开启数据持久化。 Redis主备实例的备节点对用户不可见，不支持客户端直接读写数据。 2.数据同步 主备节点通过增量数据同步的方式保持缓存数据一致。 说明 当网络发生异常或有节点故障时，主备实例会在故障恢复后进行一次全量同步，保持数据一致性。 3.故障后自动切换主节点，服务高可用 当主节点故障后，连接会有秒级中断、不可用，备节点在30秒内自动完成主备切换，切换完成后恢复正常访问，无需用户操作，业务平稳运行。 4.容灾策略 跨AZ部署（可用区）：DCS支持将主备实例的主备副本部署在不同的AZ内，节点间电力与网络均物理隔离。您可以将应用程序也进行跨AZ部署，从而达到数据与应用全部高可用。 Redis 3.0实例架构设计 DCS的Redis主备实例架构，如下图所示。 主备实例示意图 示意图说明： VPC 虚拟私有云。实例的内部所有服务器节点，都运行在相同VPC中。 说明 VPC内访问，客户端需要与主备实例处于相同VPC，并且配置安全组访问规则。 客户应用 运行在ECS上的客户应用程序，即Redis的客户端。 Redis实例兼容开源协议，可直接使用开源客户端进行连接，关于客户端连接示例，请参考连接实例。 DCS缓存实例 DCS主备实例包含了Master和Slave两个节点。默认开启数据持久化功能，同时保持节点间数据同步。 DCS实时探测实例可用性，当主节点故障后，备节点升级为主节点，恢复业务。 Redis 3.0的访问端口默认为6379，不支持定义端口。

本章节主要介绍翼MapReduce的配置监控指标数据转储操作。 操作场景 监控数据上报功能可以将系统中采集到的监控数据写入到文本文件，并以FTP或SFTP的形式上传到指定的服务器中。 使用该功能前，管理员需要在FusionInsight Manager页面进行相关配置。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“系统 > 对接 > 监控数据上传”。 3. 单击“监控数据上传”右边的开关。 “监控数据上传”默认为不启用，开关显示为表示启用。 4. 根据下表所示的说明填写上传参数： 上传配置参数 参数名称 参数说明 FTP IP地址模式 必选参数，指定服务器IP地址模式，可选择“IPV4”或“IPV6”。 FTP IP地址 必选参数，指定监控指标数据对接后存放监控文件的FTP服务器。 FTP端口 必选参数，指定连接FTP服务器的端口。 FTP用户名 必选参数，指定登录FTP服务器的用户名。 FTP密码 必选参数，指定登录FTP服务器的密码。 保存路径 必选参数，指定监控文件在FTP服务器保存的路径。 转储时间间隔（秒） 必选参数，指定监控文件在FTP服务器保存的周期，单位为秒。 转储模式 必选参数，指定监控文件发送时使用的协议。可选协议为“SFTP”和“FTP”。建议使用基于SSH v2的SFTP模式，否则可能存在安全风险。 SFTP服务公钥 可选参数，指定FTP服务器的公共密钥，“转储模式”选择“SFTP”时此参数生效。 5. 单击“确定”，设置完成。 说明 选择转储模式为SFTP，当SFTP服务公钥为空时，先进行安全风险提示，确定安全风险后再保存配置。

本章节为您介绍运维日志相关内容。 运维日志模块是保障数据库运维操作安全和合规的重要工具，通过记录和分析与数据库运维相关的操作日 志 ，帮助您确保运维操作的透明性和合法性。 该模块提供详细的日志信息和多条件筛选功能 ，支持安全 监控和问题排查 ，确保运维操作的合规性 ，有效提升数据库的运维管理水平。 运维日志主要包含 ： 身份权限相关日志 账号过期相关日志 僵尸账号相关日志 安全认证相关日志 登录超时相关日志 强管控阻断相关日志 检索运维日志 1.在左侧菜单栏选择“查询分析 > 运维日志”进入运维日志页面。 2.设置查询条件（如时间范围、资产、操 作类型等） ，单击“搜索”即可查询相关运维日志。 3.可单击查询条件下方的“更多条件”，在更多条件对话框中勾选需要的查询条件 ，单击“确认”即可添 加相应的查询条件 ，单击“恢复默认”可以恢复至默认查询条件。 查看运维日志详情 1.在左侧菜单栏选择“查询分析 > 运维日志”进入运维日志页面。 2.在运维日志列表中，单击日志条目右侧的“详情”可以查看该运维记录的详细信息，包括运维记录的基本信息、客户端信息、服务端信息、 请求详情、返回详情。 3.单击运维日志详情窗口右下角的“上一条”或“下一条”可切换查看临近的运维日志。 4.在日志详细中 ，单击“取证”即可弹出下载框 ，等待文件生成成功后 ，单击“下载”即可下载.png 图片格式的运维日志详情文件。

本章节主要介绍如何删除集群。 当用户不再需要使用某个集群时，可以参考如下操作删除该集群。 对系统的影响 成功删除的集群无法恢复，同时集群中的用户数据、自动快照也会自动删除且无法再访问。删除集群时不会删除手动快照。 删除集群 1.登录数据仓库服务(DWS) 管理控制台。 2.单击管理控制台右上角的，选择区域。 3.在“集群管理”页面，查找到所要删除的集群。 4.在集群所在行，单击“更多 > 删除”。 5.在弹出对话框中，再次进行删除确认，您可以选择是否执行以下操作： 立即创建集群快照 如果集群状态无异常，您可以单击“立即创建集群快照”，然后在弹出窗口中输入快照名称并单击“确定”，为待删除的集群创建一个最新的快照。等快照创建完成后，请再返回“集群管理”页面执行删除集群的操作。 释放与集群绑定的弹性IP 如果集群绑定了弹性IP，建议您勾选“释放与集群绑定的弹性IP”，将待删除集群的弹性IP资源释放。 6.单击“是”，删除此集群。 如果待删除集群使用了自动创建的安全组，且该自动创建的安全组没有被别的集群使用，删除集群时，该安全组也会被一并删除。

如何选择区域？ 选择区域时，您需要考虑以下几个因素： 地理位置 一般情况下，建议就近选择靠近您或者您的目标用户的区域，可以减少网络时延，提高访问速度。但在基础设施、BGP网络品质、资源的操作与配置等方面，同一个国家各个区域间区别不大，如果您或者您的目标用户在同一个国家，可以不用考虑不同区域造成的网络时延问题。 资源的价格 不同区域的资源价格可能有差异。 如何选择可用区？ 是否将资源放在同一可用区内，主要取决于您对容灾能力和网络时延的要求。 如果您的应用需要较高的容灾能力，建议您将资源部署在同一区域的不同可用区内。 如果您的应用要求实例之间的网络延时较低，则建议您将资源创建在同一可用区内。 如何获取区域终端节点？ 当您通过API使用资源时，您必须指定其区域终端节点。请向企业管理员获取区域和终端节点信息。 翼MapReduce（MRS）集群内节点是否支持更换网段？ MRS集群内节点支持更换网段。 1.在集群详情页“默认生效子网”右侧单击“切换子网”。 2.选择当前集群所在VPC下的其他子网，即可实现可用子网IP的扩充。 新增子网不会影响当前已有节点的IP地址和子网。 翼MapReduce（MRS）集群内节点是否支持降配操作？ MRS集群内节点暂不支持降级配置规格。 如何使用自定义安全组创建MRS集群？ 用户购买集群时，如果选择使用自己创建的安全组，则需要放开9022端口，或者在界面上购买集群时，安全组选择"自动创建"。

本小节介绍在Windows主机上设置口令复杂度策略。 为了确保系统的安全性，建议设置的口令复杂度策略为：口令最小长度不小于8位，至少包含大写字母、小写字母、数字和特殊字符中的三种。 设置本地安全策略中的账户策略步骤如下： 1、以管理员账户Administrator登录。单击“开始 > 控制面板 > 系统和安全 > 管理工具”，进入管理工具文件夹，双击“本地安全策略”，打开“本地安全策略”控制面板。也可直接在开始菜单栏输入命令secpol.msc直接进入本地安全策略控制面板，如图所示。 输入命令 2、选择“账户策略 > 密码策略”后执行以下操作，如图所示。 双击“密码必须符合复杂性要求”，勾选“已启用”选项，单击“确定”，启用“密码必须符合复杂性要求”策略。 双击“密码长度最小值”，填入长度（建议大于等于8），单击“确定”，设置“密码长度最小值”策略。 本地安全策略配置项 3、运行gpupdate命令刷新策略，刷新成功后，如图所示，以上设置被应用与系统中。 执行结果

本节主要介绍GetSessionToken。 OOS为用户提供临时授权访问。此操作用来获取临时访问密钥。子用户默认拥有调用此接口的权限。如果配置了禁止子用户调用该接口的IAM策略，该策略不会生效。 STS（Security Token Service）是为云计算用户提供临时访问令牌的Web服务。通过STS，可以为第三方应用或用户颁发一个自定义时效的访问凭证。第三方应用或用户可以使用该访问凭证直接调用OOS API，或者使用OOS提供的SDK来访问OOS API。 使用临时授权访问OOS API时，用户需要将安全令牌（SessionToken）携带在请求header中或者预签名URL中。携带在请求header中，V4和V2签名的XAmzSecurityToken请求头不区分大小写。携带在预签名URL中，V4签名的标头为“XAmzSecurityToken”，V2签名的标头为“xamzsecuritytoken”。 注意 使用临时访问令牌（AccessKeyId、SecretAccessKey、SessionToken）的用户不能调用该接口；使用临时访问令牌调用其他接口时，权限同生成该临时访问令牌的用户。为了安全起见，不建议根用户调用该接口。 请求语法 plaintext POST / HTTP/1.1 Host: ooscniam.ctyunapi.cn Date: Date Authorization: SignatureValue ContentType：application/octetstream ActionGetSessionToken&DurationSecondsseconds 请求参数 名称 描述 是否必须 Action GetSessionToken。 是 DurationSeconds 令牌的有效期限。 类型：整型 取值：[900, 129600]，单位是秒。 是 PolicyDocument 用JSON语言描述的策略内容，为临时访问密钥增加权限策略限制。 携带该权限策略时：生成的临时访问密钥的权限等于调用此接口用户的权限策略和该权限策略的交集。 未携带该权限策略时：生成的临时访问密钥的权限等于调用此接口用户的权限策略。 注意 该参数仅对IAM用户生效，对根用户不生效。PolicyDocument的赋值需要做urlencode处理。 类型：字符串 取值：长度为1~2048的字符串。可以包含以下字符： 任何可打印的ASCII字符，范围从空格字符（u0020）到ASCII字符范围的结尾。 Basic Latin和Latin1 Supplement字符集中的可打印字符（到u00FF）。 特殊字符Tab（u0009），换行符（u000A）和回车符（u000D）。 说明 各操作权限对应的具体资源、API详见操作权限与API对应关系。 否

本文介绍全站加速的基本安全防护功能。 全站加速作为帮助用户加速获取资源文件的产品，其防御能力是不能和专业的安全防护产品所比的，如果需要抗DDoS和抗CC攻击的全站加速功能，请使用天翼云边缘安全加速平台产品。如下是全站加速的一些基本防护的配置： Referer防盗链功能：根据http请求的referer字段对请求来源的域名进行筛选和链接。全站加速支持三种referer防盗链设置：白名单、黑名单以及是否允许空referer。该方法主要通过URL过滤的方法对来源host的地址进行过滤，用户可指定请求来源的域名，通过该功能可以对请求来源做限制。需注意的是：黑、白名单互斥，用户只可选择配置二者其一。 IP黑/白名单：设置相应的IP黑、白名单来针对来源IP进行限制。需注意的是：黑、白名单互斥，用户只可选择配置二者其一。、 URL鉴权：配置URL鉴权后，全站加速会对加密串及时间戳进行校验，从而有效地保护用户站点资源。 UA黑/白名单：配置允许用户使用的访问工具，UA白名单之外的访问工具全部拒绝访问（节点响应403），UA白名单之内的访问工具全部允许访问。UA黑名单之外的访问工具全部允许访问，UA黑名单之内的访问工具全部拒绝访问（节点响应403）。 URI黑/白名单：通过对用户访问的URI进行规则判断，按需放行或拒绝用户访问。允许访问时，全站加速会返回资源链接；拒绝访问时，全站加速会返回403响应码。 全网带宽控制：支持全网边缘总带宽限制，支持分时段控制，可以根据自身带宽需求选择对应的限制策略。带宽超出设置值后，可选择对请求进行限速、拒绝或者重定向操作。 有序回源：通过有序回源功能，可以根据源站负载有效控制并发回源量，保护源站服务器的稳定性，提供更佳的用户体验。

参数 参数说明 取值样例 用户类型 请选择“系统用户”。 系统用户 用户名称 填写新建用户的名称（非登录名）。 登录名 填写新建用户的登录名称。 Test 密码 填写新建用户的密码。 再次输入密码 二次填写新建用户的密码。 手机号 填写新建用户的手机号码。 13000000000 固定电话 填写新建用户的固定电话号码。 010XXXXXXXX 电子邮箱 填写新建用户的电子邮箱。 Test@chinatelecom.cn 资产组 选择新建用户所属的资产组。 资产组 地域 选择新建用户所在的地域，仅支持选择中国境内地区。 中国北京 安全域 选择新建用户所属的域。 安全域 专业 选择新建用户的专业。 数据 角色 选择新建用户的角色，角色配置请参考： 角色管理 章节 普通用户 授权截止时间 选择新建用户的到期时间，请谨慎选择，到期后不可再次登录。

3、安全设置 进入安全设置界面，配置重定向URL（回调域名）参数，填写AOne域名（可联系客户经理获取）。 ４、应用发布 配置完成后需要进行应用发布，如不发布应用版本，配置修改无效。 进入版本管理与发布界面，点击“创建新版本”按钮，填写版本详情资料后点击“保存”后发布应用。 管理员创建钉钉认证源 即钉钉当作认证源，其管理登录认证验证，AOne客户端登录时进行转发给钉钉进行认证，因零信任需要针对用户、组织进行精细化授权，建议采用钉钉同步提前将用户信息导入，配置对应权限。 1、添加认证源 登录AOne零信任工作台，进入扩展认证源列表，点击“添加认证源”，进行钉钉认证源添加。 2、选择认证源类型 根据需求，选择钉钉认证源类型。

背景说明 授权管理功能可以帮助管理员便捷掌握授权状态、可用功能及额度情况，实现对终端安全管理系统授权的高效监控与分发管理。 操作步骤 1. 登录边缘安全加速控制台，选择相应的控制台【终端管理】； 2. 在左侧导航栏，选择【授权管理】，进入相关页面； 版本功能说明 1. 展示用户当前授权版本、可用授权额度 、总授权额度、授权有效期、授权包含的功能模块，并提供 “获取额度” 跳转功能，用户点击可前往购买授权额度，灵活应对终端设备数量增加或功能扩展需求，确保系统正常使用。 2. 终端管理授权，包括基础版授权和企业版授权。 授权分发管控 授权概览 1、直观呈现当前版本（如基础版）的授权额度、有效期，帮助管理员快速掌握授权资源状态。 授权分发规则 终端授权分发策略卡片 1、支持通过用户、设备类型、IP 范围、设备名称等条件配置授权规则，实现批量、精准的授权分配，满足不同场景的终端管理需求。

操作步骤 1、购买DTS数据迁移实例。 在管理控制台点击“创建实例”进入订购页面，“实例类型”选择“数据迁移”，“目标库实例”的“数据库类型”选择ClickHouse，选择实例，完成其他信息的填写并完成购买。 说明 迁移前请您详细阅读快速入门准备工作概览网络准备章节内容，了解并做好网络方面的准备工作。 2、进入实例配置页面。 DTS实例购买成功后，进入【数据迁移】实例列表页面，上一步骤购买成功的实例在实例列表中显示状态为“待配置”，进入实例配置页面的操作分两种情况： 当DTS实例的网络接入类型为“公网EIP”时，请先点击“绑定弹性IP”按钮完成公网弹性IP的绑定，然后点击该实例操作列的“实例配置”按钮。 当DTS实例网络接入类型为“VPC网络”时，直接点击该实例操作列的“实例配置”按钮。 3、配置源库及目标库信息。 进入实例配置第一个步骤的【配置源库及目标库信息】页面，填入源库与目标库的相关配置信息，包括数据库类型、IP地址端口、数据库账号、数据库密码等信息。 完成上述信息的填写后，点击源数据库和目标数据库的“测试连接”按钮进行数据库连接测试，检查数据库能否正常连接。 4、配置迁移对象及高级配置。 源库和目标库连通性测试成功后，点下一步按钮，进入实例配置第二个步骤的【配置迁移对象及高级配置】页面，在“源库对象”中选择要迁移的源库对象，选中后点击“>”按钮，将待迁移对象移动到“已选择对象”中。 页面下方展示了检测到的ClickHouse部署架构:如果为非集群，表引擎固定选中ReplacingMergeTree。如果为集群，用户可以选择一个集群名称。如果是单副本集群，则固定选中ReplacingMergeTree引擎；如果是多副本集群，则固定选中ReplicatedReplacingMergeTree引擎。 说明 关于配置迁移对象及高级配置页面的详细说明，请参考数据传输服务 用户指南 数据迁移 实例配置和实例编辑 配置迁移实例文档中配置迁移对象及高级配置详细说明。

天翼云智盒各版本的定位差异？ 天翼云智盒基础版龙虾：深度整合 OpenClaw 全量能力，内置本地化主流大模型，实现插电即用的便捷部署，兼具高安全性与高性价比核心优势。产品依托 “硬件 + 平台 + OpenClaw + 本地模型” 协同解决方案，提供开箱即用的 AI 算力服务，助力用户快速落地 AI 智能助手应用，高效解锁智能化办公与开发新体验。 天翼云智盒基础版应用开发：深度整合多合一国产大模型推理服务，搭载AI应用开发平台、知识库管理，通过 “硬件 + 平台 + 应用+本地模型”的协同解决方案，开箱即用 AI 算力，即刻落地智能应用。 天翼云智盒应用版翼标：提供从“投前情报分析”到“投中效能提升”的全流程专业支撑。系统以本地AI与数据处理为核心，保障安全与效率。 天翼云智盒有哪些优势？ 开箱即用：轻量交付，插电即用，无需IDC 机房建 高性价比: 内置多类本地模型，本地化模型替代云端 Token，一次部署长期省钱，越用越值 安全可控: 数据全程本地化不出域 ，合规需求全满足 超强算力：最高 1P 算力 + 128G 共享显存，桌面级智盒

本小节介绍服务器安全卫士通用功能IP组管理。 用户可根据自己需求，对产品中有特定作用和含义的 IP 或者 IP 段，设置为 IP 组进行统一管理，包括： 自定义内网 IP 组 ：可自定义设置某些"IP 或 IP 段"为内网，则在产品使用中，属于该 IP 组的 IP 会显示为内网 IP； 安全外网 IP 组 ：可自定义设置某些"IP 或 IP 段"为安全外网； 自定义 IP 组 ：用户可以自定义 IP 组，以结合自身需求灵活使用。 分组管理 可自定义 IP 分组，并对其进行编辑和删除，如下图所示。 添加 IP 或 IP 段 选择分组后，点击“添加 IP 或 IP 段”，弹出添加界面，输入信息，点击“确定”后，可将该 IP 或 IP 组加入该分组。 编辑/删除 IP 和 IP 段 分组内已添加的 IP 或 IP 段，希望对其进行编辑或删除，可点击操作。

本章节向您介绍此最佳实践的使用场景。 场景描述 概述：不同区域的公有云内资源，通过VPN连接打造IPSec加密隧道，实现云间高速互联通道，为不同区域的不同业务系统提供数据交互方案。 典型行业：所有公有云行业应用 适配场景：云间业务、数据互联 技术架构图 本实践方案基于如下图所示的技术架构和主要流程。 VPN连接提供云间高速互联通道示意图 方案优势 提供IPSec加密通道，传输安全性高 网关带宽有保障，业务、数据互通效率高 通过互联网环境传输，链路成本低

本小节介绍终端杀毒虚拟机/终端配置。 执行防恶意软件扫描 查看资产管理→虚拟机/终端界面，查看各虚拟机的防恶意软件状态，在正确完成部署后，应为绿色的盾牌标记。 执行手动扫描 在资产管理→虚拟机/终端界面下，勾选具体的虚拟机终端，点击安全操作，选择具体的手动扫描方式，如快速扫描等。 下发扫描操作后，防恶意软件状态会由“等待扫描”开始，然后显示具体扫描进度，最终显示扫描成功。 执行定期扫描 在安全策略→安全配置下，点击“防恶意软件”配置项的“手动/定期扫描”选项卡，配置具体的定期扫描参数，支持“每天”、“每月”、“每周”的定期频率，设置完成后，点击保存，并将该安全策略应用于具体虚拟机。 防恶意软件事件统计 默认以柱状图的形式展现文件感染次数排名前5的虚拟机/终端，排序从高到低。左上角可选择展现排名前5的分组，右上角可选择以饼图的形式展现。 鼠标悬停至柱状图上，能显示具体的数值，鼠标点击柱状图，会自动跳转至分析→防恶意软件页面。

本节介绍密钥管理导入密钥的方法。 当用户使用KMS管理控制台创建自定义密钥时，KMS系统会自动为该自定义密钥生成密钥材料。 当用户希望使用自己的密钥材料时，可通过KMS管理控制台的“导入密钥”功能创建密钥材料为空的自定义密钥，并将自己的密钥材料导入该自定义密钥中。 注意事项 安全性 用户需要确保符合自己安全要求的随机源生成密钥材料。用户在使用导入密钥时，需要对自己密钥材料的安全性负责。请保存密钥材料的原始备份，以便在意外删除密钥材料时，能及时将备份的密钥材料重新导入KMS。 可用性与持久性 在将密钥材料导入KMS之前，用户需要确保密钥材料的可用性和持久性。 导入的密钥材料与通过KMS创建密钥时自动生成的密钥材料的区别，如下表所示。 密钥材料来源 区别 导入的密钥 可以手动删除密钥材料，但不能删除该自定义密钥及其元数据。 在导入密钥材料时，可以设置密钥材料失效时间，密钥材料失效后，KMS将在24小时以内自动删除密钥材料，但不会删除该自定义密钥及其元数据。建议用户在本地密钥管理基础设施中安全地备份一份密钥材料，以便密钥材料失效或误删除时重新导入该密钥材料。 KMS创建的密钥 不能手动删除密钥材料。 不能设置密钥材料的失效时间。

该任务指导用户通过漏洞扫描服务取消主机授权。 注意事项 取消主机授权后，将不能完全扫描出主机的安全风险，请谨慎操作。 前提条件 已获取管理控制台的登录账号与密码。 已添加主机。 已开通预置账号。 已在创建任务时授权通过网络连接到对应的主机，即已进行主机授权。 操作步骤 1. 登录管理控制台。 2. 选择“安全 > 漏洞扫描（专业版）”，进入漏洞扫描服务管理控制台。 3. 在左侧导航栏，选择“资产列表 > 主机”，进入主机列表入口。 4. 批量选择需要配置的主机，单击“批量操作 > 编辑”，进入批量授权入口，如下图所示。 说明 用户也可以单台主机授权，在目标主机所在行的“操作”列，单击“编辑”。 5. 在目标主机的“操作”列，单击“更多”，在下拉框中，单击“解除授权”。解除授权后，“授权信息”的状态为“暂未配置”。 6. 单击“确定”，解除授权成功。

本章节主要介绍翼MapReduce的导出认证凭据文件操作。 操作场景 用户为安全模式集群进行应用开发的场景下，需要获取用户keytab文件用于安全认证。管理员可以通过FusionInsight Manager导出keytab文件。 说明 修改用户密码后，之前导出的keytab将失效，需要重新导出。 前提条件 下载“人机”用户的认证凭据文件前，需要使用Manager界面或者客户端修改过一次此用户的密码，否则下载获取的keytab文件无法使用。请参见修改用户密码。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“系统 > 权限 > 用户”。 3. 在需导出文件的用户所在行，选择“更多 > 下载认证凭据”，待文件自动生成后指定保存位置，并妥善保管该文件。 认证凭据中会携带kerberos服务的“krb5.conf”文件。 解压认证凭据文件后可以获取两个文件： “krb5.conf”文件包含认证服务连接信息。 “user.keytab”文件包含用户认证信息。

本文介绍如何为容器集群安装Sever/Agent。 需要为容器集群安装Sever/Agent，将容器集群纳管到容器安全卫士控制台后，才能对容器集群进行安全防护。 前提条件 已购买容器安全卫士实例。 安装Sever/Agent 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“安装配置 > 组件安装”。 3. 单击“集群组件部署”，进入集群组件部署页面，获取集群组件部署脚本，并按页面提示进行集群组件的安装。 4. 在左侧导航栏选择“安装配置 > 运行状态”，更新并查看节点防护状态。

说明：本章节会介绍如何重置数据库账号密码 操作场景 您可重置自己创建的数据库帐号密码，安全考虑，请定期（如三个月或六个月）修改密码，防止出现密码被暴力破解等安全风险。 限制条件 恢复中的实例，不可进行该操作。 操作步骤 步骤 1 登录管理控制台。 步骤 1 单击管理控制台左上角的，选择区域和项目。 步骤 2 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 3 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页。 步骤 4 在左侧导航栏，单击“帐号管理”，选择目标帐号，单击操作列的“重置密码”。 步骤 5 在弹出框中输入新密码和确认密码，单击“确定”，提交修改。 密码长度为8~32个字符，至少包含大写字母、小写字母、数字、特殊字符三种字符的组合，其中允许输入~!@%^+?,特殊字符。 新密码和确认密码需相同。 重置密码后数据库不会重启，权限不会发生变化。

计费说明 购买实例存储空间后，文档数据库服务将同比例赠送OBS备份存储空间，用于存储备份数据。当备份数据超出赠送的免额空间时，将按需进行收费。例如，您购买的实例存储空间为100GB时，会得到赠送的100GB的OBS免费备份存储空间。当备份数据没有超出100GB，将免费存储在OBS上；当备份数据超出100GB，超出部分将按需计费，具体收费请参见价格详情。 您可以在“费用中心 > 费用账单”页面，选择产品为“DDS云备份”来查看备份产生的费用。 使用须知 备份过程，对业务无影响。 文档数据库服务会去检测已有的自动备份文件，若备份文件超过用户自定义的数据保留天数，则将其删除。 自动备份策略修改后，文档数据库服务将按照新的备份策略触发自动备份，原自动备份文件的保留天数不变。 开启或修改自动备份策略 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上方的，选择区域和项目。 步骤 3 在页面左上角单击，选择“数据库 > 文档数据库服务 DDS”，进入文档数据库服务信息页面。 步骤 4 在“实例管理”页面，选择指定的实例，单击实例名称。 步骤 5 在左侧导航树，单击“备份恢复”。 步骤 6 在“备份恢复”页面，单击“设置备份策略”，如需开启自动备份策略，单击。开启后，可以修改备份策略，如下图所示。 设置社区版集群实例自动备份策略 参数说明 参数名称 说明 保留天数 保留天数是指自动备份可保留的时间，增加保留天数可提升数据可靠性，请根据需要设置。 保留天数范围为1～732天。 减少保留天数的情况下，该备份策略对已有备份文件同时生效，即超出备份保留天数的已有备份文件会被删除，但最近一次过期的备份文件会被保留。 时区 默认备份时区为UTC时间。 备份时间段 备份时间段为间隔1小时。建议您将备份时间段设置为业务低峰期的某个时段。 备份周期 当保留天数设置在1～6天范围时，默认每天进行备份，且备份周期不可修改。 当保留天数设置在7～732天范围时，您可以根据业务需要设置备份周期，但至少选择一周中的一天。 备份方式 物理备份：通过物理拷贝磁盘文件的方式进行备份。 快照备份：保留某一时间点磁盘的数据状态。 逻辑备份：通过工具读取数据逻辑导出。 步骤 7 单击“确定”，确认修改。 步骤 8 查看备份结果。 自动备份创建过程中，在“备份管理”或“备份恢复”页面，可查看自动备份的状态显示为“正在备份”。 在备份列表的右上角，单击刷新列表，可看到自动备份创建成功的状态显示为“完成”。自动备份的备份类型为“自动”，备份方式为“物理备份”。

本章节进行插件说明与使用介绍 概述 目前云原生网关共支持8种插件配置，可以满足用户的身份认证、流量控制、安全、信息重写等需求。每个插件的配置详情与使用方式可参考以下介绍。 身份认证类 keyauth插件 描述 keyauth 是一个认证插件，在header或者query中匹配key值即可通过认证 作用范围 该插件即可用于全局插件，也可用于路由级插件。全局插件配置的优先级高于路由级插件配置，当同时在某一路由上配置了keyauth的全局插件和路由级插件时，需带上全局插件配置中的key值才能通过。 属性 名称 类型 必选项 默认值 有效值 描述 key string 必需 在header或者query中通过apikey携带key值进行认证。 如何启用 在配置窗口页以YAML格式填写 配置示例 下面是一个示例，填写keyauth配置信息: “key”:”test” 启用/停用 在配置页面设置生效开关 验证插件 未启用插件时API请求结果 $ curl i HTTP/1.1 200 ContentType: application/json TransferEncoding: chunked Connection: keepalive Date: Fri, 23 Dec 2022 03:53:53 GMT Server: APISIX/2.13.3 rspTest: hello,world [{"id":1,"productID":1,"reviewer":"Reviewer1","text":"THIS IS A GRAY VERSION "}] 启用插件不带apikey时API的请求结果 $ curl i HTTP/1.1 401 Unauthorized Date: Fri, 23 Dec 2022 03:54:31 GMT ContentType: text/plain; charsetutf8 TransferEncoding: chunked Connection: keepalive Server: APISIX/2.13.3 {"message":"Missing API key found in request"} 启用插件带apikey时API的请求结果 apikey的位置可以在header中也可以在query中 在header中使用 $ curl i H "apikey: test" HTTP/1.1 200 ContentType: application/json TransferEncoding: chunked Connection: keepalive Date: Fri, 23 Dec 2022 03:54:55 GMT Server: APISIX/2.13.3 rspTest: hello,world [{"id":1,"productID":1,"reviewer":"Reviewer1","text":"THIS IS A GRAY VERSION"}] 在query中使用 $ curl i HTTP/1.1 200 ContentType: application/json TransferEncoding: chunked Connection: keepalive Date: Fri, 23 Dec 2022 03:55:28 GMT Server: APISIX/2.13.3 rspTest: hello,world [{"id":1,"productID":1,"reviewer":"Reviewer1","text":"An extremely entertaining play by Shakespeare"}]

2.DeepSeek服务启动 仅需如下3条命令，即可启动服务（根据模型大小，启动服务需等待530分钟不等）： plaintext cd /home/deepseek sbatch srunclean.sh sbatch srundeepseek.sh 查看log目录下的out文件，当出现如下信息时，服务启动成功： plaintext $ more deepseek.33.out Loading cthpc910b/1.0.0/mpich3.2.1 Loading requirement: mpich/3.2.1/gcc10.3.1 Service Address: Config updated successfully. Output file: json/config.33.json Start to parse ranktable file Finished parsing ranktable file. Update worldSize and npuDeviceIds of backend config successfully for Multi Nodes Inference. Start to parse ranktable file Finished parsing ranktable file. Update worldSize and npuDeviceIds of backend config successfully for Multi Nodes Inference. Warning: path /configs/mkicfg.ini does not exist ... Multi Nodes infer slave instance need not init TokenizerProcessPool and HttpWrapper Daemon start success! Daemon start success! 注意 DeepSeek主节点，根据调度节点自动生成，这里log显示为192.168.0.34。 进行检测，给DeepSeek提个问题： plaintext $ curl i location ' header 'ContentType: application/json' data '{ "model": "DeepSeekR1", "stream": false, "messages": [ {"role": "user", "content": "你是谁"} ] }' HTTP/1.1 200 OK Connection: close ContentLength: 625 ContentType: application/json KeepAlive: timeout180, max2147483647 {"id":"endpointcommon132","object":"chat.completion","created":1743387462,"model":"DeepSeekR1","choices":[{"index":0,"message":{"role":"assistant","toolcalls":null,"content":" nn nn您好！我是由中国的深度求索（DeepSeek）公司开发的智能助手DeepSeekR1。如您有任何任何问题，我会尽我所能为您提供帮助。"},"finishreason":"stop"}],"usage":{"prompttokens":4,"completiontokens":42,"totaltokens":46},"prefilltime":136,"decodetimearr":[125,74,74,74,76,73,75,73,75,74,75,75,74,74,73,74,74,74,74,74,75,74,74,74,74,74,74,74,77,75,76,75,74,74,74,74,74,75,74,73,82]}

枚举参数 无 请求示例 请求url 无 请求头header {"ContentType": "application/json"} 请求体body {"timeType": "LASTONEDAY", "startTime": "20230101 00:00:00", "endTime": "20230101 00:00:00", "severityCode": 1, "attckType": "TA0001", "status": 0, "likeQueryType": 1, "likeQueryParam": "test", "agentGuid": "1111", "currentPage": 1, "pageSize": 10, "handleStatus": "HANDLED", "alarmType": "1", "eventTypeId": "8200"} 响应示例 {"message": "success", "traceId": "asaadasd11111", "statusCode": "200", "error": "0", "returnObj": {"total": 100, "list": [{"id": "ALT0001", "createTime": "20250101 00:00:00", "updateTime": "20250101 00:00:00", "firstFindTime": "20250101 00:00:00", "timestamp": "20250101 00:00:00", "handleTime": "20250101 00:00:00", "status": 0, "agentGuid": "1111", "alertName": "在您的系统上发现一个可疑进程, 可能与蠕虫病毒或入侵事件相关.", "attckType": "TA0001", "severity": 1, "attackCount": 1, "eventId": "8201", "privateIp": "192.168.0.1", "publicIp": "192.168.0.1", "custName": "test", "hostName": "test", "displayName": "test", "osType": "Linux", "alarmName": "异常的注册表操作", "alarmDesc": "存在异常的注册表操作，请检查注册表操作权限。", "alarmType": "1", "eventDesc": "检测模型发现您的服务器上执行的某些命令操作Windows注册表的方式高度可疑，可能与恶意软件或攻击者入侵后在修改相关的配置项。", "handleSuggestion": "请先判断该命令是否是运维操作或业务正常的命令, 如果是, 请忽略该告警. 如果您在处理告警时此进程仍然存在, 建议先尝试kill进程避免后续进一步行为. 该命令可能仅是攻击者入侵过程中的其中一步, 请继续查看该机器的其他告警或排查日志, 分析是否还存在其他恶意行为.", "remark": "TEST", "alarmTypeName": "进程异常行为", "attckTypeName": "初始访问", "riskInfo": [{"fieldEnName": "进程路径", "fieldZnName": "processPath", "fieldValue": "C:WindowsSystem32cmd.exe", "order": 1, "canEdit": "false", "type": "string"}], "handleRules": [{"name": "添加白名单", "label": "ADDWHITE"}], "whiteData": {"ruleConditionDesc": "告警名称 等于 异常的注册表操作 且 注册表名称 等于 Start 且 注册表路径 等于 REGISTRYMACHINESYSTEMControlSet001Servicesedrmonitor", "rules": [{"fieldValue": "Start", "condition": "", "fieldEnName": "regkey", "fieldZnName": "注册表名称", "canEdit": "true"}]}, "eventCategoryId": "1", "eventTypeId": "8200", "quotaVersion": 1}], "pageNum": 1, "pageSize": 10, "handleTotal": 1, "unHandleTotal": 1}}

自定义PromQL类型 您可以通过使用自定义PromQL类型来创建告警规则，对静态阈值中系统预设指标之外的指标进行监控， 参数 说明 示例 告警规则模板名称 自定义告警规则模板的名称 Pod的CPU使用率大于80% 告警规则模板描述 输入该模板的备注描述信息，可以用于记录模板的含义、适用场景等。 检测类型 设置为自定义PromQL。 自定义PromQL 自定义PromQL语句 使用PromQL语句设置告警规则表达式。 max(containerfsusagebytes{pod!"", namespace!"armsprom",namespace!"monitoring"}) by (podname, namespace, device)/max(containerfslimitbytes{pod!""}) by (podname,namespace, device) 100 > 90 持续时间 当告警条件满足时，直接产生告警事件：任何一个数据点满足阈值，就会产生告警事件。 当告警条件满足持续N分钟时，才产生告警事件：即只有当满足阈值的时间大于等于N分钟时，才产生告警事件。 告警等级 自定义告警等级。告警严重程度从一般,次要,重要,紧急逐级上升。 一般 告警内容 用户收到的告警信息。您可以使用Go template语法在告警内容中自定义告警参数变量。 命名空间：{{$labels.namespace}}/Pod: {{$labels.podname}}/磁盘设备： {{$labels.device}} 使用率超过90%，当前值{{ printf "%.2f" $value }}% 通知策略 不指定通知规则：若勾选该选项，在告警规则创建完成后，您可在通知策略界面新建策略，并通过设置匹配规则与匹配条件（例如告警规则名称）关联对应告警规则。当此告警规则触发并生成告警事件时，系统会将告警信息推送至通知策略中指定的联系人或联系人组。更多相关说明，可参考通知策略文档。 指定某个通知策略：若选择此项，系统会自动在对应的通知策略中添加一条匹配规则，匹配规则内容为告警规则ID（以告警规则名称的方式呈现），以确保当前告警规则产生的告警事件一定可以被选择的通知策略匹配到。 高级设置 标签 设置告警标签，设置的标签可用作通知策略匹配规则的选项。 无