配置说明 防护方式 防护方式。为合规性检测功能的总开关，关闭则合规性检测的任何规则将不生效。 配置项说明 合规性检测将为您提供一条默认策略，针对全站进行防护，此策略不允许调整优先级。 配置项 说明 优先级 规则优先级 防护模式 设置该规则的防护模式，支持设置关闭、开启。 规则名称 设置规则名称 规则描述 设置规则描述 防护范围 设置需要防护的请求范围，可选择粒度有URI、PATH，支持输入字符串，比如PATH等于字符串/ 允许HTTP请求方法 设置允许的请求方法（PUT、DELETE、POST、GET、其它），支持多选 非法处理动作：即当请求非允许的请求方法时，将对请求进行处理，支持配置关闭、告警、拦截 允许HTTP协议版本 设置允许的HTTP协议版本（HTTP/1.1、HTTP/1.0、HTTP/0.9、其它），限制非指定HTTP版本访问源站，保证源站针对性服务，不受黑客攻击 非法处理动作：即当请求非允许的HTTP协议版本时，将对请求进行处理，支持配置关闭、告警、拦截 HTTP请求头部缺失 请求缺失对应头部则告警或拦截。针对HTTP请求的头部进行缺失防护，当请求到达服务器时，检测到缺失头部时，进行相应处理动作，处理动作支持配置关闭、告警、拦截 头部支持选择USERAGENT、其它、ACCEPTLANGUAGE、ACCEPT、HOST HPP防护 HPP 防护 即 HTTP Parameter Pollution，HTTP 参数污染。在 HTTP 协议中是运行同样名称的参数出现多次，攻击者通过传播参数的时候传输 key 相同而 value 不同的参数，从而达到绕过某些防护与参数校验的后果。它是一种注入型的漏洞，攻击者通过在 HTTP 请求中插入特定的参数来发起攻击 合规检测的HPP防护能够及时处理该攻击行为，下拉框为处理动作，支持配置关闭、告警、拦截 作用范围支持选择cookie、body、url。cookie：cookie字段重复；body：针对xwwwformurlencoded编码格式body进行重复参数检测；url：针对url传输参数重复检测 HTTP头部重复限制 请求对应头部存在重复则告警或拦截 Chunk攻击检测 针对请求体中嵌入HTTP请求攻击，窃取其它客户敏感信息的攻击行为进行告警或拦截 上传合规检测 针对上传表单校验是否满足上传协议规范，不符合则告警或拦截 %00检测 ASCII 0字符会对参数进行截断，造成源站不可预知错误，合规检测将针对此攻击行为进行告警或拦截 检测区域支持选择表单传输头、BODY传输头、URL参数、其它文件、表单文件 URL最大长度 限制请求URL最大长度，不符合的请求将告警或拦截。针对HTTP请求URL长度进行限制，避免大量不合规请求到达源站，占用资源，浪费系统性能 HTTP请求头部限制 针对HTTP请求头部内容进行限制。限制内容包含，请求头部，字段最大个数，请求头部参数值最大长度限制。不符合的请求将告警或拦截。 请求头部参数名最大长度: 限制请求头部参数名最大长度 请求头部参数值最大长度: 限制请求参数值最大长度 请求头部参数最大个数: 限制请求头部最大个数 例外 如果有特殊的业务无法通过合规检测策略，可以进行加白，则请求不会进行合规检测策略校验

本章节主要介绍DataArts Studio的开发一个MRS Spark Python作业流程。 本章节介绍如何在数据开发模块上进行MRS Spark Python作业开发。 案例一：通过MRS Spark Python作业实现统计单词的个数 前提条件： 具有OBS相关路径的访问权限。 数据准备： 准备脚本文件"wordcount.py"，具体内容如下： coding: utf8 import sys from pyspark import SparkConf, SparkContext def show(x): print(x) if name "main": if len(sys.argv) ") exit(1) 创建SparkConf conf SparkConf().setAppName("wordcount") 创建SparkContext 注意参数要传递confconf sc SparkContext(confconf) inputPath sys.argv[1] outputPath sys.argv[2] lines sc.textFile(name inputPath) 每一行数据按照空格拆分 得到一个个单词 words lines.flatMap(lambda line:line.split(" "),True) 将每个单词 组装成一个tuple 计数1 pairWords words.map(lambda word:(word,1),True) 使用3个分区 reduceByKey进行汇总 result pairWords.reduceByKey(lambda v1,v2:v1+v2) 打印结果 result.foreach(lambda t :show(t)) 将结果保存到文件 result.saveAsTextFile(outputPath) 停止SparkContext sc.stop() 说明 需要将编码格式设置为“UTF8”，否则后续脚本运行时会报错。 准备数据文件“in.txt”,内容为一段英文单词。 操作步骤 ： 1. 将脚本和数据文件传入OBS桶中，如下图。 上传文件至OBS桶 说明 本例中，wordcount.py和in.txt文件上传路径为：obs://obstongji/python/ 2. 创建一个数据开发模块空作业，作业名称为“jobMRSSparkPython”。 新建作业 3. 进入到作业开发页面，拖动“MRS Spark Python”节点到画布中并单击，配置节点的属性。 配置MRS Spark Python节点属性 参数设置说明： master yarn deploymode cluster obs://obstongji/python/wordcount.py obs://obstongji/python/in.txt obs://obstongji/python/out 其中： obs://obstongji/python/wordcount.py为脚本存放路径； obs://obstongji/python/in.txt为wordcount.py的传入参数路径，可以把需要统计的单词写到里面； obs://obstongji/python/out为输出参数文件夹的路径，并且会在OBS桶中自动创建该目录（如已存在out目录，会报错）。 4. 单击“测试运行”，执行该脚本作业。 5. 待测试完成，执行“提交”。 6. 在“作业监控”界面，查看作业执行结果。 详见下图：查看作业执行结果 作业日志中显示已运行成功 详见下图：作业运行日志 详见下图：作业运行状态 7. 查看OBS桶中返回的记录。（没设置返回可跳过） 详见下图：查看OBS桶返回记录

性能项目 云数据库RDS 自购服务器搭建数据库服务 服务可用性 请参见《弹性云服务器用户指南》。 需要购买额外设备，自建主从，自建RAID。 数据可靠性 请参见《云硬盘用户指南》。 需要购买额外设备，自建主从，自建RAID。 系统安全性 防DDoS攻击，流量清洗；及时修复各种数据库安全漏洞。 需要购买昂贵的硬件设备和软件服务，需要自行检测和修复安全漏洞等。 数据库备份 支持自动备份，手动备份，自定义备份存储周期。 需要购买设备，并自行搭建设置和后期维护。 软硬件投入 无需投入软硬件成本，按需购买，弹性伸缩。 数据库服务器成本相对较高，对于Microsoft SQL Server需支付许可证费用。 系统托管 无需托管。 需要自购2U服务器设备，如需实现主从，购买两台服务器，并进行自建。 维护成本 无需运维。 需要投入大量人力成本，招聘专业的DBA进行维护。 部署扩容 弹性扩容，快速升级，按需开通。 需采购和原设备匹配的硬件，需托管机房的配合，需部署设备，整体周期较长。 资源利用率 按实际结算，100%利用率。 考虑峰值，资源利用率低。

本主题介绍天翼云服务等级目标（SLO），包括天翼云服务在计算、存储、网络和CDN方面的可用性。本主题中的SLO是指基于工程设计测量的预期值。因此，我们不保证满足SLO。如果未满足SLO，我们不提供服务补偿或其他财务补偿。有关天翼云服务SLA的更多信息，请参阅产品服务等级协议。 可用性SLO 产品名称 可用性SLO :: 弹性云主机 99.995% 物理机 99% 弹性伸缩服务 99.95% 云硬盘 99.999% 弹性文件服务 99.9% 对象存储（经典I型） 99.99% 对象存储（原生版）I型 99.95% 媒体存储 99.99% 弹性IP 99% 弹性负载均衡 99.95% VPN连接 99.95% 分布式缓存Redis 99.95% 分布式消息RocketMQ 99.95% 分布式消息RabbitMQ 99.95% 分布式消息Kafka 99.95% CDN加速 99.90%

本节介绍云安全中心产品咨询类问题。 云安全中心是否只是对其他云安全产品日志进行采集分析? 云安全中心产品除了采集其他安全产品的日志进行统一管理外，还提供编排响应以及处置的能力，能够对告警形成自己的处置流程，并进行自动化处置。云安全中心打通了云上的各类安全产品形成联动响应处置，帮助用户提升威胁响应处置效率。 云安全中心如何帮助客户满足等保合规要求? 云安全中心提供的插件管理、威胁运营、编排响应等功能，可以满足等保的“边界防护”、“访问控制”、“入侵防范”、“恶意代码和垃圾邮件防范”、“安全审计”、“恶意代码防范”、“集中管控”等要求。具体可参见等级保护测评解读。 云安全中心支持采集云上哪些安全日志? 云安全中心目前支持采集云上安全产品的安全告警日志，包括Web应用防火墙（原生版）、服务器安全卫士（原生版）、云等保专区、数据库审计、云堡垒机（原生版）企业版等产品。具体的日志类型请参见支持的日志类型。 短信使用余量是否会进行提醒？ 云安全中心会在短信剩余500条时、以及短信全部使用完时，提醒用户短信剩余量。

本文介绍无法远程登录Windows云主机怎么办。 无法远程登录Windows云主机可以使用以下方式进行问题排查。 1. 检查弹性IP是否能ping通。 以下情况为本地客户端无法ping通目标ECS实例公网IP： 1. 本地客户端为Linux系统，ping目标ECS实例公网IP时无响应，如图所示。 2. 本地客户端为Windows系统，打开本地终端，或使用快捷方式，按 win + r，输入cmd，执行：ping ping目标ECS实例公网IP时提示请求超时错误，如图所示。 如果不能ping通，请参见文档”ping不通或丢包时如何进行链路测试？“进行检查。 如果能ping通，请执行2。 2. 检查弹性云主机的3389端口是否能够访问。具体操作方法可参考文档：如何检查端口可用性。 如果不能访问，请检查安全组是否开放3389端口。 如果能访问，请执行3。 3. 检查弹性云主机内的RDP服务是否存在异常。 登录同一内网段的其他Windows主机，在该主机上远程登录问题主机。 如果不能登录，说明RDP服务可能存在异常，通过VNC登录到问题主机，查看RDP服务是否存在异常，重启RDP服务后，重新尝试连接。 请按照以下方法重启RDP服务。 单击“开始”，选择“运行”，输入“services.msc”。 在服务列表中，选择“Remote Desktop Services”服务，重新启动该服务。 4. 查看弹性云主机是否修改远程连接端口。 查看“HKEYLOCALMACHINESystemCurrentControlSetControlTerminalServerWinStationsRDPTcpPortNumber”下，配置的端口是否是默认的3389，若不是，远程连接的时候将端口改为配置中的端口。 5. 查看弹性云主机是否限制连接数量。 检查OS内部远程桌面配置： 单击“开始”，选择“运行”，输入“gpedit.msc ”，打开组策略。 选择“计算机配置 > 管理模板 > 远程桌面服务 > 远程桌面会话主机 > 连接 ，“打开“限制连接的数量”，查看是否启用限制。 说明 如果此处有配置最大连接数，可能导致Windows远程登录无法连接，如果同时有多个用户正在登录该主机，且数量已经超过最大连接数，此时最大连接数外的用户接收不到该主机的仲裁，导致会话会一直处于正在配置中的状态。 请选择禁用该配置或者设置更大的最大连接数。 6. 其它解决方案 通过上述排查后，仍然不能连接 Windows 实例，请您保存自助诊断结果，通过提交工单联系天翼云的技术支持寻求帮助。

本小节主要介绍态势感知与其他云服务之间的关系。 与安全服务的关系 态势感知（专业版）从主机安全（Host Security Service，HSS）、Web应用防火墙（Web Application Firewall，WAF）等安全防护服务中获取必要的安全事件记录，进行大数据挖掘和机器学习，智能AI分析并识别出攻击和入侵，帮助用户了解攻击和入侵过程，并提供相关的防护措施建议。 与弹性云服务器的关系 态势感知（专业版）为弹性云服务器（Elastic Cloud Server，ECS）提供资产安全管理服务，结合HSS主机防护状态，全方位呈现当前ECS安全风险态势，并提供相应防护建议。

场景 说明 同一区域云资源的跨VPC通信 VPC终端节点支持同一区域云资源的跨VPC通信，通过创建终端节点服务和终端节点，实现云服务的跨VPC访问，包括： 线下节点访问云上资源 VPC终端节点支持线下节点（即本地数据中心）访问云上资源，包括： 配置访问 OBS 服务内网地址的终端节点

本文主要介绍虚拟私有云 虚拟私有云（Virtual Private Cloud，以下简称VPC）为弹性云主机构建隔离的、用户自主配置和管理的虚拟网络环境，提升用户企业云中资源的安全性，简化用户的网络部署。 通过云审计服务，您可以记录与虚拟私有云相关的操作事件，便于日后的查询、审计和回溯。 表 云审计服务支持的VPC操作列表 操作名称 资源类型 事件名称 修改Bandwidth bandwidth modifyBandwidth 创建EIP eip createEip 释放EIP eip deleteEip 绑定EIP eip bindEip 解绑定EIP eip unbindEip 创建PrivateIp privateIps createPrivateIp 删除PrivateIp privateIps deletePrivateIp 创建Security Group securitygroup createSecurityGroup 创建Subnet subnet createSubnet 删除Subnet subnet deleteSubnet 修改Subnet subnet modifySubnet 创建VPC vpc createVpc 删除VPC vpc deleteVpc 修改VPC vpc modifyVpc 创建VPN vpn createVpn 删除VPN vpn deleteVpn 修改VPN vpn modifyVpn 上表中VPC的操作，为底层（OpenStack）服务触发；部分事件名称与表68中重复，是因为这些事件采用了异步调用的模式：操作下发会产生上表中描述的事件，而操作结果响应会产生表69中描述的事件。 表 云审计服务支持的VPC操作列表（由底层服务触发） 操作名称 资源类型 事件名称 创建虚拟网络 network createNetwork 更新虚拟网络 networks updateNetwork 删除虚拟网络 networks deleteNetwork 创建虚拟子网 subnets createSubnet 更新虚拟子网 subnets updateSubnet 删除虚拟子网 subnets deleteSubnet 创建虚拟端口 ports createPort 更新虚拟端口 ports updatePort 删除虚拟端口 ports deletePort 创建浮动IP floatingips createFloatingip 更新浮动IP floatingips updateFloatingip 删除浮动IP floatingips deleteFloatingip 创建虚拟路由 routes createRouter 更新虚拟路由 routes updateRouter 删除虚拟路由 routes deleteRouter 添加虚拟路由的接口 routes addRouterInterface 删除虚拟路由的接口 routes removeRouterInterface 为当前vpcrouter添加扩展路由 routes addExtraRoute 为当前vpcrouter删除指定的扩展路由 routes removeExtraRoute 创建安全组 securitygroups createSecuritygroup 删除安全组 securitygroups deleteSecuritygroup 更新安全组 securitygroups updateSecuritygroup 创建安全组规则 securitygrouprules createSecuritygrouprule 删除安全组规则 securitygrouprules deleteSecuritygrouprule 创建一个vpnservice vpn createVpnService 更新vpnservice vpn updateVpnService 删除vpnservice vpn deleteVpnService 创建密钥交换策略 vpn createVpnIkepolicy 更新密钥交换策略信息 vpn updateVpnIkepolicy 删除租户指定ikepolicy vpn deleteVpnIkepolicy 创建一个ipsecpolicy vpn createVpnIpsecpolicy 更新指定ipsecpolicy vpn updateVpnIpsecpolicy 删除指定的ipsecpolicy vpn deleteVpnIpsecpolicy 创建一个ipsec连接 vpn createVpnIpsecsiteconnection 更新ipsec连接 vpn updateVpnIpsecsiteconnection 删除指定ipsec连接 vpn deleteVpnIpsecsiteconnection Create VPN endpoint group vpn createVpnEndpointgroup Update VPN endpoint group vpn updateVpnEndpointgroup Remove VPN endpoint group vpn deleteVpnEndpointgroup 更新代理 agent updateAgent 删除代理 agent deleteAgent 指定网络使用的DHCP Agent agent createAgentDhcpnetwork 移除网络使用的DHCP Agent agent deleteAgentDhcpnetwork 更新指定租户的配额值 quota updateQuota 重置指定租户的配额值 quota deleteQuota 创建firewall group FWaaS v2 createFirewallGroup 更新firewall group FWaaS v2 updateFirewallGroup 删除firewall group FWaaS v2 deleteFirewallGroup 创建firewall policy FWaaS v2 createFirewallPolicy 更新firewall policy FWaaS v2 updateFirewallPolicy 删除firewall policy FWaaS v2 deleteFirewallPolicy firewall policy中插入firewall rule FWaaS v2 insertFirewallPolicyRule firewall policy中移除firewall rule FWaaS v2 removeFirewallPolicyRule 创建firewall rule FWaaS v2 createFirewallRule 更新firewall rule FWaaS v2 updateFirewallRule 删除firewall rule FWaaS v2 deleteFirewallRule 创建loadbalancer loadbalancer createLBaaSLoadbalancer 更新指定的loadbalancer loadbalancer updateLBaaSLoadbalancer 删除指定的loadbalancer loadbalancer deleteLBaaSLoadbalancer 创建listener listener createLBaaSListener 更新指定的listener listener updateLBaaSListener 删除指定的listener listener deleteLBaaSlistener 创建pool pool createLBaaSPool 更新指定的pool pool updateLBaaSPool 删除指定的Pool pool deleteLbaasPool 创建Member member createLBaaSPoolMember 更新指定的Member member updateLBaaSPoolMember 删除指定的member member deleteLBaaSPoolMember 创建healthmonitor healthmonitor createLBaaSHealthMonitor 更新指定的healthmonitor healthmonitor updateLBaaSHealthMonitor 删除指定的healthmonitor healthmonitor deleteLBaaSHealthMonitor

本文为您介绍如何使用模板创建一个高可用架构的操作场景及操作步骤。 操作场景 本示例以创建一个弹性负载均衡为例，介绍如何使用模板创建一个高可用架构。 不同架构内设云资源不同，本文及供参考。 操作步骤 1. 登录控制中心。 2. 在控制台首页搜索“资源编排ROS”，或在左侧产品导航栏选择“管理工具 > 资源编排ROS”，进入资源编排控制台。 3. 在左侧导航栏选择 模板管理。 4. 在模板管理页面，单击创建模板。 5. 创建高可用架构的.tf模板示例如下，请参考文档创建模板完成模板配置。 zhu java terraform { requiredproviders { ctyun { source "ctyunit/ctyun" version "1.2.0" } } } provider "ctyun" { regionid "bb9fdb42056f11eda1610242ac110002" //选定资源池 azname "cnhuadong1jsnj1Apublicctcloud" //选定可用区 } variable "instancename" { //定义变量：云主机名称 type string default "tfecsha" description "Name of EC instances to create" } variable "vpcname" { //定义变量：虚拟私有云名称 type string default "tfvpcha" description "Name of vpc to create" } variable "eipname" { //定义变量：弹性IP名称 type string default "tfeipha" description "Name of eip to create" } variable "elbname" { //定义变量：弹性负载均衡名称 type string default "tfelbha" description "Name of elb to create" } variable "instancecount" { //定义变量：创建弹性云主机数量，默认为1个 type number default 1 description "Number of EC instances to create" } variable "password" { //定义变量：云主机密码 type string sensitive true } resource "ctyunvpc" "vpctest" { //定义vpc资源：vpctest name var.vpcname cidr "192.168.0.0/16" description "terraform测试使用" enableipv6 true } resource "ctyunsubnet" "subnettest" { //定义子网资源：subnettest vpcid ctyunvpc.vpctest.id name "tfvpcha" cidr "192.168.1.0/24" description "terraform测试使用" dns [ "114.114.114.114", "8.8.8.8", "8.8.4.4" ] enableipv6 true } resource "ctyuneip" "eiptest" { //定义弹性IP资源：eiptest name var.eipname bandwidth 1 cycletype "ondemand" demandbillingtype "bandwidth" } data "ctyunzones" "test" { } locals { az1 data.ctyunzones.test.zones[0] az2 data.ctyunzones.test.zones[1] } output "az1" { value local.az1 } data "ctyunimages" "imagetest" { //确定云主机镜像 azname local.az1 name "CTyunOS 22.06 64 位" visibility "public" pageno 1 pagesize 10 } data "ctyunecsflavors" "ecsflavortest" { //确定云主机参数 azname local.az1 cpu 2 ram 4 arch "x86" series "C" type "CPUC7" } resource "ctyunecs" "ecstest" { //定义云主机资源：ecstest count var.instancecount instancename "${var.instancename}${count.index + 1}" displayname "${var.instancename}${count.index + 1}" flavorid data.ctyunecsflavors.ecsflavortest.flavors[0].id imageid data.ctyunimages.imagetest.images[0].id isdestroyinstance true systemdisktype "sata" systemdisksize 40 vpcid ctyunvpc.vpctest.id password var.password azname local.az1 cycletype "year" cyclecount 1 subnetid ctyunsubnet.subnettest.id }

本文向您介绍如何解决修改Linux弹性云主机的默认SSH端口后,使用新端口无法登录。 新端口无法登录的原因可能有：安全组没有放通新端口，防火墙没有放通新端口，sshd文件未添加新端口等。 检查安全组规则 以新的SSH端口号为2222为例，安全组规则在确保 “入方向”需要放通2222端口。如果没有此规则，须在安全组中添加2222入方向端口 检查防火墙规则 检查iptables防火墙是否放通新的SSH端口，以2222端口为例。 1）登录Linux弹性云主机。以CentOS 7.6操作系统为例，执行以下命令编辑iptables文件。 vi /etc/sysconfig/iptables 2）添加2222端口规则 A INPUT m state state NEW m tcp p tcp dport 2222 j ACCEPT 3）修改完成后重启iptables服务。 systemctl restart iptables 检查SSH配置文件 1）登录弹性云主机检查ssh配置文件。执行如下命令，查看是否配置了 Port 2222。 vi /etc/ssh/sshdconfig 2）如未配置，请将“Port 22”替换为“Port 2222”。 3）执行如下命令，重启ssh服务。 service sshd restart

本文主要介绍云日志服务的欠费说明。 欠费原因 在按需计费的模式下帐号的余额不足。 欠费影响 欠费后，已有的采集配置将停用，日志无法上报，且您将无法创建日志项目和日志单元等资源。 您所占用的日志存储资源仍会按照日志存储量的计费项继续扣费，因此欠费余额会累计。 当欠费超过15天，将视为您主动放弃该服务，您保存在天翼云云日志服务中的全部数据（包括已上传的日志数据）将会被销毁，销毁后数据不可恢复。因此请您及时关注账户余额并及时续费以保证您的服务不受到影响。 充值 欠费后，如果您在15天内充值补足欠款，日志数据将自动恢复上报，您可继续使用云日志服务各项功能。 为防止相关资源不被停止或者释放，请及时进行充值，为避免帐号将进入欠费状态，需要在约定时间内支付欠款，详细操作请参考费用中心资金管理余额充值。 说明 若您确认不再使用云日志服务，请务必及时删除相关日志项目、日志单元。

本文主要介绍如何修改IP地址组基本信息。 操作场景 本章节指导用户修改IP地址组。 说明 修改IP地址组，相应安全组规则和网络ACL规则的源地址范围也会随之改变。 修改IP地址组 1. 登录管理控制台。 2. 在页面左上角单击图标，打开服务列表，选择“网络 > 虚拟私有云”。进入虚拟私有云列表页面。 3. 在左侧导航栏选择“访问控制 > IP地址组”。 4. 在IP地址组列表页面，单击操作列的“修改”，可以对IP地址组信息进行修改，包括名称、IP地址、描述。

工作负载高级设置 设置容器生命周期Yaml样例 任务管理 使用kubectl创建Job 使用kubectl创建CronJob 配置中心 使用kubectl创建配置项 使用kubectl创建密钥 存储管理 使用kubectl自动创建云硬盘 使用kubectl部署带云硬盘存储卷的工作负载

本文主要介绍如何设置监控告警规则。 操作场景 通过设置弹性云主机告警规则，用户可自定义监控目标与通知策略，及时了解弹性云主机运行状况，从而起到预警作用。 操作步骤 1. 登录管理控制台。 2. 在管理控制台左上角单击图标，选择区域和项目。 3. 选择“管理与部署 > 云监控服务”。 4. 在左侧导航树栏，选择“告警 > 告警规则”。 5. 在“告警规则”界面，单击“创建告警规则”创建弹性伸缩的告警规则，或者选择已有的弹性伸缩的告警规则进行修改，设置弹性伸缩的告警规则。 6. 规则参数设置完成后，单击“立即创建”。 说明 更多关于设置告警规则的信息，请参见《云监控用户指南》。 可以使用在云监控页面创建的告警规则，实现动态资源扩展。

本文为您介绍如何使用使用DNAT暴露公网服务。 NAT网关介绍 弹性容器实例对外提供服务的方式有三种，eip、elb、dnat，您可以按需进行选择使用。 NAT网关（CTNAT Gateway）是一种支持 IP 地址转换的网络云服务，能够为虚拟私有云（Virtual Private Cloud，CTVPC）内的计算实例提供网络地址转换（Network Address Translation），分为公网NAT网关和私网NAT网关两种。公网NAT网关使多个弹性云主机可以共享使用弹性IP访问Internet或使多个弹性云主机提供互联网服务；私网NAT网关可将源、目的网段地址转换为VPC私网中转IP地址，通过使用中转IP实现VPC内的计算实例与其他VPC、云下IDC的指定地址隔离互访。详细信息查看天翼云官网NAT网关帮助文档。 ECI弹性容器实例接入DNAT最佳实践 1. 创建公网nat网关。 2. 为vpc添加路由表，指定0.0.0.0/0的下一跳地址为刚刚创建的nat网关。 3. 为公网nat网关创建DNAT规则。 1. 控制台创建时，选择手动输入自定义地址。 2. openapi创建时，指定virtualMachineType为2，serverType为VM，详细接口请参考创建dnat规则文档。 4. 访问nat网关绑定的eip+externalPort即可访问对应服务。

升级实例规格 具体操作请参见： 升级云SAAS型实例规格 增加独享版实例的节点数量 新增购买资源扩展包 具体操作请参见： 扩增云SAAS型实例资源扩展包 扩增独享型实例资源扩展包

本文为您介绍Windows弹性云主机配置双网卡外网访问的故障修复操作步骤。 Windows弹性云主机配置1块主网卡、1块扩展网卡，将两块网卡均绑定弹性IP，实现外网访问。 约束限制 操作过程中，请不要修改主网卡的配置。 操作步骤 1. 登录控制中心，并选择“网络虚拟私有云”。 2. 在网络控制台中选择“弹性网卡”，然后页面右上角单击“创建弹性网卡”按钮。 3. 在“创建弹性网卡”页面中，根据界面提示添加弹性网卡。 4. 在弹性网卡列表页选中弹性网卡，点击“操作”列中的“绑定实例”按钮，进行弹性网卡绑定。 5. 点击绑定实例，进入弹性云主机详情页面，可以看到网卡信息。 6. 远程登录弹性云主机。 7. 找到右下角网络配置图标，再点击右侧“更改适配器设置”（或者“控制面板”“网络和 Internet”“网络连接“），找到新添加的网卡。 8. 选择新添加的网卡，然后右击图标，选择“属性”。 9. 在网络连接属性面板中“网络”选项下，选中“Internet 协议版本 4(TCP/IPv4)”，然后单击下面的“属性”。 10. 在属性面板中，切换到常规选项卡下，将步骤5中自动获取的私有IP地址配置给新添加的网卡。 示例： IP地址：192.168.0.13 子网掩码：255.255.255.0 默认网关：192.168.0.1 首选DNS服务器：114.114.114.114 备用DNS服务器：114.114.115.115 11. 配置完成后，勾选“退出时验证设置”。 12. 返回控制台，然后绑定弹性IP即可使用。

本节为您介绍如何自行为计算加速型GPU云主机安装Tesla驱动。 您可根据如下操作步骤自行安装Tesla驱动，如要安装CUDA工具包请参见安装CUDA。 如何选择驱动版本请参见如何选择驱动及相关库、软件版本。 前提条件 GPU云主机未安装驱动。 GPU云主机配备弹性IP。 一 、Centos /Ctyunos/麒麟操作系统驱动安装 1.下载对应驱动。访问NVIDIA驱动下载官网，选择对应GPU型号、操作系统和CUDA Toolkit版本后，进行下载，本文以 A100 为例，如下图所示。 2.点击搜索，选择要下载的驱动版本，点击下载。 3.将下载的驱动安装包上传到云主机中，执行以下命令，对安装包添加执行权限。 例如，对文件名为NVIDIALinuxx8664470.199.02.run添加执行权限。 chmod +x NVIDIALinuxx8664470.199.02.run 4.安装kerneldevel、gcc包，注意kerneldevel版本要和内核版本保持一致。 sudo yum install y gcc kerneldevel 5.执行以下命令，运行驱动安装程序，并按提示进行后续操作。 sudo sh NVIDIALinuxx8664418.126.02.run disablenouveau kernelsourcepath/usr/src/kernels/$(uname r) 6.安装完成后，执行以下命令进行验证。 nvidiasmi 如返回信息类似下图中的 GPU 信息，则说明驱动安装成功。 7.（可选）GPU驱动开启持久化模式 PersistenceM(Persistence Mode)是一个用户可设置的驱动程序属性的术语。启用持久性模式后，即使没有活动的客户端，NVIDIA驱动程序也会保持加载状态。这样可以最大程度地减少与运行依赖的应用程序(例如 CUDA 程序)相关的驱动程序加载延迟，同时减少GPU云主机掉卡问题的发生。 cd /usr/share/doc/NVIDIAGLX1.0/sample bunzip2 nvidiapersistencedinit.tar.bz2 tar xvf nvidiapersistencedinit.tar cd nvidiapersistencedinit && sh install.sh u root

本页面介绍从ClickHouse 自建集群迁移数据。 前提条件 1. 创建了目标云数据库ClickHouse实例。详细的操作步骤，请参考创建实例。 2. 创建了用于目标云数据库ClickHouse集群的数据库账号和密码。详细的操作步骤，请参考创建账号。 3. 确保创建的云数据库ClickHouse实例可以访问ClickHouse自建集群。 4. 确保自建ClickHouse集群与创建的云数据库ClickHouse实例具有相同的表结构。 使用 remote 函数进行数据迁移的详细示例 以下是使用云数据库ClickHouse的 remote函数在ClickHouse集群之间迁移数据的详细示例： 假设两个ClickHouse集群：源集群（sourcecluster）和目标集群（targetcluster），它们都具有相同的表结构。 1. 在目标集群中创建接收数据的表： sql CREATE TABLE targetdatabase.targettable ( id UInt64, name String ) ENGINE MergeTree ORDER BY id; 2. 在源集群中执行查询，并使用 remote函数将查询结果插入到目标集群的表中： sql INSERT INTO remote('clickhouse://targetcluster', targetdatabase.targettable) SELECT id, name FROM sourcedatabase.sourcetable; 在上述查询中，从源集群的 sourcetable中选择 id和 name列，并将数据插入到目标集群的 targettable中。 clickhouse://targetcluster：替换为目标集群的连接URL。 targetdatabase.targettable：替换为目标集群中接收数据的数据库和表名称。 sourcedatabase.sourcetable：替换为源集群中要迁移数据的数据库和表名称。 3. 运行上述查询后，源集群将执行查询，并将查询结果插入到目标集群的表中。这样，数据就从源集群迁移到目标集群的表中。 确保源集群和目标集群之间具有网络连接，并且能够相互访问。在执行数据迁移操作时，请考虑网络带宽、延迟和数据量等因素，并确保系统资源足够支持数据迁移过程。 说明 上述示例仅展示了迁移数据的基本原理，具体的表结构和查询逻辑可能因实际情况而异，需要根据实际需求进行相应的调整和配置。

本文主要介绍应用性能管理 应用性能管理服务（Application Performance Management，简称APM）是实时监控并管理云应用性能和故障的云服务，提供专业的分布式应用性能分析能力，可以帮助运维人员快速解决应用在分布式架构下的问题定位和性能瓶颈等难题，为用户体验保驾护航。 通过云审计服务，您可以记录与APM服务相关的操作事件，便于日后的查询、审计和回溯。 表云审计服务支持的APM操作列表 操作名称 资源类型 事件名称 删除应用 APM clearApps 设置事务别名 APM setAlias 更新虚机服务分组 APM updateVirtualService 更新事务配置 APM updateTxTypeSettings 更新拓扑Apdex阈值 APM updateThresholds 设置事务分组 APM txtypeGroupOperation 删除应用配置 apm deleteAppGroup 更新采集开关配置 apm setAppPpswitcherConfig 更新智能采样配置 apm setAppCallChainConfig 更新内存检测机制配置 apm setAppMwsConfig 更新日志增加TraceID配置 apm setAppLogTransacConfig 更新SQL分析开关配置 apm setAppSqlConfig 更新忽略HTTP响应代码或忽略错误和异常配置 apm setAppIgnoreConfig

参数 参数类型 说明 示例 下级对象 ecs Integer 云主机资源数量 33 evs Integer 云硬盘资源数量 37 scaling Integer 弹性伸缩资源数量 0 pms Integer 物理机资源数量 1 ippool Integer 弹性ip和共享带宽的资源数量 16 elb Integer 负载均衡资源数量 7 totalCount Integer 所有资源的总数量 94

资源分组支持用户从业务角度集中管理其业务涉及到的弹性云主机、云硬盘、弹性IP、带宽、数据库等资源。从而按业务来管理不同类型的资源、告警规则、告警记录，可以迅速提升运维效率。 资源分组支持企业项目，当选择了资源分组到某个企业项目时，只有拥有该企业项目权限的用户才可以查看和管理该资源分组。

本节介绍了如何查看分布式消息服务RabbitMQ产品实例。 背景信息 RabbitMQ实例是指使用RabbitMQ消息队列的具体应用场景或示例。这些实例可以是各种不同的系统、应用或业务流程，通过使用RabbitMQ来实现消息的传递和处理。 例如，一个订单处理系统可以使用RabbitMQ来处理订单信息的传递和处理。当有新的订单生成时，订单信息可以被发送到RabbitMQ的消息队列中，然后由不同的消费者来处理这些订单信息，如库存管理、支付处理和物流跟踪等。 另一个例子是日志收集系统，通过使用RabbitMQ作为消息中间件，可以将分布式系统中的日志消息发送到消息队列中，然后由日志收集器消费者来处理和存储这些日志消息。这样可以实现日志的集中管理和分析，方便故障排查和系统性能监控。 其他常见的RabbitMQ实例包括异步任务处理、事件驱动架构、分布式系统通信等。通过使用RabbitMQ，这些实例可以实现系统组件之间的解耦、提高系统的可伸缩性和可靠性，从而更好地满足复杂应用场景的需求。 实例列表 1、进入控制台查看已购买的实例列表，若列表为空，可点击右上角【创建实例】进入购买页面，创建实例详情见具体操作步骤。 2、支持按照实例ID查询，输入查询内容，点击【查询】按钮即可展示需要的实例数据。 3、查看实例基本信息，包括实例ID、规格、VPC、计费模式、创建时间、到期时间、状态。其中状态说明见下文。 运行状态 （1）登录管理控制台。 （2）进入RabbitMQ管理控制台。 （3）当前页面会列出所购买的RabbitMQ实例，并查看状态，状态说明如下 状态 说明 运行中 RabbitMQ实例正常运行状态。在这个状态的实例可以运行您的业务。 已关闭 RabbitMQ实例处于故障的状态。 变更中 RabbitMQ实例正在进行规格变更操作。 变更失败 RabbitMQ实例处于规格变更失败状态。 暂停 RabbitMQ专享版实例处于已冻结状态，用户可以在“更多”中续费开启冻结的RabbitMQ实例。 注销 RabbitMQ实例已经过期并关闭，需要重新购买实例。

本节介绍了容器镜像加签验签的用户指南。 概述 镜像签名功能保障镜像来源安全可靠，避免中间人攻击和非法镜像的更新与运行。CRS支持为命名空间的镜像自动加签，每次推送容器镜像后都会匹配加签规则自动加签，保障您的容器镜像内容可信。 镜像签名步骤 为命名空间下的镜像设置自动加签的步骤如下： 1. 登录容器镜像服务控制台。 2. 在顶部菜单栏，选择所需资源池。 3. 在实例页面中选择容器镜像仓库实例。 4. 在企业版实例管理页面的左侧菜单上选择"安全可信" "镜像签名"，点击左上角的创建镜像加签规则按钮。 5. 在弹出的对话框，填写镜像加签规则的，然后点击“确定”按钮，完成创建，界面各项参数说明如下表； 参数 是否必选 说明 命名空间 必选 选择需要自动加签的命名空间名称 使用默认私钥 非必选 加签时是否使用默认的私钥，勾选则表明使用默认私钥加签，若不勾选则表明使用自定义私钥，则需要往下录入自定义私钥的信息 私钥 非必选 如果上述"使用默认私钥"不勾选，则必须在此框填入自定义私钥的信息，可以将私钥直接贴入，或者从"文件导入"，私钥目前只支持长度位数是2048，格式为PKC8的RSA秘钥 密码 非必选 如果创建RSA秘钥对时有添加密码，则需要再此处填上，否则会影响加签执行 6. 创建完毕的规则会展示在镜像签名的列表中，可对签名规则进行编辑，如更换签名秘钥等。 注意 1. 镜像加签不会影响镜像的常规使用，更不会影响镜像中原有的能力及业务功能。 2. 单个命名空间只能创建一个加签规则。 3. 如果是使用自定秘钥，密钥对需要自行保存维护好，使用跟秘钥对应的公钥方可验签成功。

本节主要介绍如何在智能视图服务控制台接入EHOME设备。 添加设备 进入设备管理页面，选择EHOME业务组，进入添加设备页面。EHOME设备接入支持EHOME2.0和ISUP5.0两个版本。 EHOME2.0 若选择EHOME2.0版本，下拉选择设备类型（IPC/NVR），填入设备名称、设备地址和所属行业等信息完成设备添加，并在设备详情页获取EHOME服务信息，包括EHOME服务器地址、EHOME服务器TCP端口和UDP端口等信息。 登录设备的管理控制台，配置页面的平台接入方式选择【ISUP（原EHOME）】，协议版本选择【Ehome2.0】，填入在平台侧获取到的服务器地址、端口等信息后，勾选【启用】并保存完成设备注册。 ISUP5.0 若选择ISUP5.0版本，下拉选择设备类型（IPC/NVR），填入设备名称、设备地址和所属行业等信息。和EHOME2.0不同，ISUP5.0需要选择EHOME凭证或点击【新建EHOME凭证】快速创建，EHOME凭证相关内容可参考【凭证管理ISUP凭证】。勾选配置资源包并点击【确定】后，可以看到在平台上成功创建的EHOME设备，此时设备为未注册状态。在设备详情页获取EHOME服务信息，包括EHOME服务器地址、EHOME服务器TCP端口和UDP端口等信息。 登录设备的管理控制台，配置页面的平台接入方式选择【ISUP（原EHOME）】，协议版本选择【ISUP5.0】，填入在平台侧获取到的服务器地址、端口等信息后，勾选【启用】并保存完成设备注册。 云台控制 若EHOME协议接入的设备支持云台，用户可对设备进行云台控制，包括八个方向控制、调焦和云台速度调整等操作，详细的云台操作说明可参考【实时预览云台控制】。

使用python代码调用api接口 1. 准备python代码 python from openai import OpenAI import httpx c httpx.Client() client OpenAI( baseurl'', 准备工作的baseurl apikey'', 准备工作的apikey, httpclientc ) streamFalse completion client.chat.completions.create( messages[ { 'role': 'user', 'content': '你是谁', } ], model"",准备工作的模型名称 streamstream ) if stream: outputtext '' for chunk in completion: print(chunk.choices[0].delta.content,end'') print(chunk.choices[0].delta.content or "", end"") content chunk.choices[0].delta.content if content: 检查 content 是否为 None outputtext +content print('n',''100) print('接收到内容：n',outputtext) else: print(completion) print(completion.choices[0].message) 2. 执行python代码，Qwen3将给出答复 使用anythingllm连接api服务 1. 下载anythingllm桌面端程序并安装。 2. 打开anythingllm程序，选择模型提供方【Generic OpenAI】。 3. 输入baseURL：准备工作的baseurl，APIKey：准备工作的apikey，Chat Model Name：准备工作的模型名称，Token context windows大小，完成模型提供方配置。 4. 输入问题，并发送问题，Qwen3将给出答复。 使用Dify v1.8.1连接api服务 1. 部署dify v1.8.1，选择OpenAIAPIcompatible插件进行安装。 2. 点击系统配置，添加模型。 3. 输入API endpoint URL：准备工作的baseurl，API Key：准备工作的apikey，API endpoint中的模型名称：准备工作的模型名称，完成模型提供方配置。 4. 返回工作室，创建空白应用。 5. 选择聊天助手，输入应用名称，提交创建。 6. 输入问题，并发送问题，Qwen3将给出答复。

用于上架企业常用软件,形成企业的软件仓库,员工通过客户端即可自行下载企业软件。 背景说明 管理员在软件仓库上架企业内常用软件，员工即可在客户端软件仓库自行下载，实现软件高效管理与便捷使用。 注意 客户端版本：支持Windows客户端，需为2.26.10及以上客户端。 套餐版本：已订购终端管理基础版以上套餐或零信任企业版套餐。 操作步骤 1. 登录边缘安全加速控制台，选择【终端管理】。 2. 在左侧导航栏展开软件管控并点击【软件仓库】，查看软件仓库相关内容。 3. 可根据业务需求进行相关配置。 预定义软件库 内置多种类型的软件库，方便管理员直接上架互联网常见软件。 上架软件：此软件对范围内用户或设备可见。 下架软件：此软件不再对任何用户或设备可见。 自定义软件库 点击“上传软件”，输入软件的基础信息和安装包参数，主要字段说明如下。 字段 说明 软件来源 （1）文件上传 支持exe、msi格式的安装包，单次仅支持一个文件，文件大小不超过500M。软件存储空间默认5GB。 （2）在线链接 输入安装包下载链接，而非下载页地址。 软件版本号 参考格式1.1.1，版本号用于软件更新，请准确填写。 上架此版本 默认关闭，即所有员工对此软件不可见。 可以开启，即范围内员工对此软件可见。 运行环境 上架时，仅上架至对应位数的设备。 Windows 64位，Windows 32位。 Windows 64位。 Windows 32位。 运行参数 可用于软件的静默安装，系统将根据此参数执行安装任务，不填写则默认执行交互式安装。 安装校验 用于判断软件是否安装成功，填写几项则校验几项，如未填写则不校验。 通过名称校验：请输入准确的软件名称，否则无法判断软件是否安装成功。 通过发布者校验：请输入软件的发布者信息，以辅助验证安装结果。

本文介绍MySQL数据库、表、列、视图等细粒度级别的账密和权限管理。 前提条件 用户已登录数据管理服务。 在数据管理服务DMS中录入目标实例，数据库类型为MySQL。 登录实例的数据库用户具有管理数据库用户密码的权限。 操作步骤 1. 点击左侧菜单栏 数据资产 > 实例管理 进入实例列表页面。 2. 选择目标实例，点击操作菜单栏 登录 按钮。 3. 输入数据库的用户名和密码，完成该实例的登录。 4. 登录实例后，点击 更多 > 数据库用户管理 按钮。 功能介绍 数据库用户管理支持查看当前实例所有数据库账号、新建账号、删除账号、编辑账号。 账号列表 显示实例下所有账号信息，包括账号名、主机信息、权限等，支持按账号名模糊搜索。 注意 当前登录的数据库用户需要具备数据库账号管理权限，否则无法查看账号列表。 新建账号 1. 登录数据管理服务。 2. 从 数据资产 > 实例管理 进入实例列表页面。 3. 在实例列表页面点击 更多 > 数据库用户管理 按钮进入管理页面。 4. 点击创建账号按钮，输入账号名、密码等必填信息。 5. 点击 确定 按钮，生成创建账号的DDL语句。 6. 在DDL预览弹窗中，点击 执行 按钮即可完成账号的创建。 7. 可以为账号设置全局权限和对象权限，以及主机信息、每小时最大查询数、每小时最大更新数、每小时最大连接数、最大用户连接数等选项。在创建账号时，可以自动检测密码强度，提高安全性。 编辑账号 1. 登录数据管理服务。 2. 从 数据资产 > 实例管理 进入实例列表页面。 3. 在实例列表页面点击 更多 > 数据库用户管理 按钮进管理页面。 4. 点击列表操作菜单的 编辑 按钮，进入编辑页面。 5. 按需修改所需要的属性内容。 6. 点击 确定 按钮，生成修改账号的DDL语句。 7. 在DDL预览弹窗中，点击 执行 按钮即可完成账号的修改。 8. 可以编辑修改账号的账密、全局权限、对象权限，以及主机信息、每小时最大查询数、每小时最大更新数、每小时最大连接数、最大用户连接数等选项。 注意 注意不支持修改用户名。

介绍分布式消息服务Kafka扩容相关内容。 场景描述 当需要处理大量消息时，Kafka实例的扩容是一种常见的解决方案。扩容可以增加Kafka集群的吞吐量、存储能力和高可用性。分布式消息服务Kafka提供三类扩容方案，分别为节点、规格和磁盘扩容，更好满足用户不同场景下的扩容需求。 ● 代理数量扩容：指向Kafka集群中添加更多的节点以增加系统的吞吐量和可靠性。通过扩容，可以将消息的发送和消费负载分摊到更多的节点上，从而提高系统的并发处理能力。 ● 规格扩容：指通过增加Kafka的资源配置来提升系统的处理能力和性能。 ● 磁盘扩容：指增加磁盘的存储容量，以满足更多消息的存储需求。 变更实例规格的影响 变更配置类型 影响 磁盘扩容 磁盘扩容不会影响业务。 代理数量扩容 1.代理数量扩容不会影响原来的代理，业务也不受影响（如果实例已配置分区自动重平衡，会触发重平衡，客户端会触发重连）。 2.新创建的Topic才会分布在新代理上，原有Topic还分布在原有代理上。通过修改Kafka分区平衡，实现将原有Topic分区的副本迁移到新代理上。 规格扩容缩容 1.若Topic为单副本，扩容/缩容期间会出现无法对该Topic生产消息或消费消息，会造成业务中断。 2.若Topic为多副本，代理会滚动重启，代理滚动重启造成分区Leader切换，会发生秒级连接闪断，Leader切换时长一般为1分钟以内。建议您在业务低峰期扩容/缩容，并且再生产客户端配置重试机制，方法如下： (1).生产客户端为Kafka开源客户端时，检查是否配置retries和retry.backoff.ms参数。建议参数值分别配置为：retries10，retry.backoff.ms1000。 (2).生产客户端为Flink客户端时，检查是否配置重启策略，配置重启策略可以参考如下代码。 StreamExecutionEnvironment env StreamExecutionEnvironment.getExecutionEnvironment(); env.setRestartStrategy(RestartStrategies.fixedDelayRestart(10, Time.seconds(20)));

本文介绍如何查看运行态检测告警信息及如何处置相关告警。 在运行态告警页面，用户可以查看已开启防护的容器的实时检测告警，并对告警进行处理。 查看运行态告警信息 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“告警响应 > 运行态检测”，进入运行态检测页面。 3. “ATT&CK”告警视图采用ATT&CK的威胁分析框架，从攻击者初始访问到最后产生的影响进行全方位的分析。 4. “常见入侵行为”告警视图，支持反弹shell、本地提权、暴力破解、恶意命令执行、病毒查杀、容器逃逸常见入侵行为视角。 5. 单击视图右上角的“收起”按钮或者向下滑动页面，可查看运行态告警列表。系统默认筛选出“未处理”的报警。 6. 运行态告警列表内，支持按照“报警级别”、“报警类型”、“报警名称”、“集群名称”、“受影响的节点”、“受影响的命名空间”、“受影响的容器”、“受影响的服务”、“状态”、“目的IP”、“目的端口”、“源IP”、“源端口”、“MD5”、“镜像名称”进行筛选查询，且“报警类型”、“报警名称”等筛选项支持模糊匹配。 运行态告警信息参数说明： 参数 说明 报警名称 单击报警名称，进入告警详情页面，可以查看具体的报警原因。 报警级别 分为紧急、异常、提示这三种级别。 报警类型 分为命令执行、读写文件、网络活动、容器安全、集群异常、主机异常、文件内容这几种类型。 集群名称 发生报警的集群名称。 受影响的节点 受影响的节点名称。 受影响的命名空间 受影响的命名空间名称。 受影响的容器（服务） 受影响的容器或服务的名称。 首次发现时间 首次发现报警事件的时间。 最近发现时间 最近一次发现报警事件的时间。 状态 状态分为已处理和未处理。 7. 单击告警名称，跳转至告警详情，可查看当前告警的基本信息及告警原因。

节点安全 集群部署后，运维人员需时刻关注集群内的master节点与node节点的在线情况，以及是否存在安全风险。针对存在安全风险的节点，需支持将风险信息生成报表，交由安全部门处理，保证节点上的资产安全运行。 节点入侵检测 支持对节点入侵事件的实时监测，包括主机反弹Shell、高危系统调用等。 节点扫描 支持设置扫描周期，按时扫描节点上的软件包是否存在漏洞，并给出修复建议。 支持自定义开启/关闭节点防护 支持自定义开启或关闭对节点的防护，关闭防护后当前节点上的所有资产将不再受保护。 集群安全 针对不同的项目情况、支持对Kubernetes、OpenShift 、Rancher等集群的不同版本进行安全风险扫描。如：Kubernetes版本信息披露、匿名身份验证、可能遭受Ping Flood攻击等。对于部署资源所编写的编排文件，支持一键同步并扫描编写内容是否存在风险以及是否符合编写规范。并支持对集群内的组件进行检查和对集群的审计通过多方位的检测方式保证集群的安全。 组件漏洞 支持对集群内的组件进行检查，并给出该组件内的漏洞信息包括漏洞介绍、参考地址、受影响版本等信息。 Kubernetes安全检查 支持对Kubernetes环境进行安全性扫描，检查是否存在诸如信息泄露、特权升级、远程代码执行、危险访问等安全风险，列出各种风险所影响的资产范围，并输出解决方法。 插件管理 支持针对0day或特殊漏洞生成专业的安全插件，运行后能快速发现受影响资产，确定影响面。 集群审计 记录了对APIServer的访问事件，通过查看、分析日志，可以了解集群的运行状况、排查异常，发现集群潜在的安全、性能等风险。 集群策略 可配置集群审计类型包括get类型审计、watch类型审计、list类型审计、update类型审计、creare类型审计、patch类型审计、delete类型审计。 默认内置针对日常运营模式、重保模式、高级防护模式的告警策略；同时也支持自定义告警策略。 支持告警规则自定义。 集群设置 支持对新增集群自动扫描、周期扫描的设置。