本节介绍智算安全专区的产品优势。 大模型安全卫士 强大的内容过滤能力 具备实时过滤与防御能力，通过敏感词匹配、语义分析和模型推理三道防线，确保生成内容的安全合规。 多语言支持 语言不敏感性，支持多语言、混合语言检测，适应全球化业务需求。 流式检查 支持在 AI 模型流式输出过程中进行内容检测，实时阻断违规内容，保障输出安全。 大模型安全测评 多种服务模式满足客户各种测评需求 目前支持以Qwen、LLaMA、DeepSeek、GLM等为底座的各种推理版、非推理版、蒸馏版的大模型应用进行测评，针对目标大模型应用无论具有标准化openAI接口、非标准化openAI接口、无API接口等多种情况均支持测评。 丰富的测评经验与专业测评能力 重点关注越狱攻击和涉密数据泄漏的等会引发系统性风险的场景。拥有一支由数据科学家、安全专家、行业分析师组成的专业测评团队，具备深厚的技术背景和丰富的测评经验。结合先进的测评工具和方法，通过大模型测评来高效快速的挖掘模型存在的潜在风险，然后再有针对性的进行防护。 先进的理念与优质专业语料的积累 通过来自公开数据集、行业标准数据集和自建数据集等多个来源的数据来形成基础语料库，通过“以模治模”的理念，所有测试用例采用大模型进行自动化构建，通过对大模型对测评用例进行持续优化和迭代，确保测试用例的全面性和准确性，以满足不断变化的需求。

在告警管理中创建飞书（Lark）机器人后，您可以在通知策略中指定对应的飞书（Lark）群用于接收告警。当通知策略的匹配规则被触发时，系统会自动向您指定的飞书（Lark）群发送告警通知。飞书（Lark）群收到通知后，您可以在群中对告警进行管理。 操作步骤 步骤一：获取机器人Webhook地址 1. 打开并登录飞书（Lark）。 2. （可选） 单击+ 图标，然后单击创建群组，新建一个用于发送告警的群组。 3. 在飞书群右上角选择 > 设置 ，然后单击群机器人。 4. 在群机器人 面板单击添加机器人，然后选择自定义机器人。 5. 在机器人配置页设置机器人名称和描述，然后单击添加。 6. 复制Webhook地址，然后选中自定义关键词并输入关键词为告警。 7. 单击完成。 步骤二：在应用性能监控控制台中创建机器人 1. 登录【应用性能监控控制台】，在左侧导航栏选择告警管理 > 通知对象。 2. 单击钉钉/飞书/企微 页签，然后单击飞书/Lark。 3. 在新建机器人面板设置以下参数，然后单击确定。 参数 说明 名称 自定义飞书（Lark）机器人的名称。 机器人地址 输入飞书机器人的Webhook地址。 告警模板 可编辑告警模板内容，告警触发时将根据模板内容进行发送。 恢复模板 可编辑告警模板内容，告警恢复时将根据模板内容进行发送。

在告警管理中创建飞书（Lark）机器人后，您可以在通知策略中指定对应的飞书（Lark）群用于接收告警。当通知策略的匹配规则被触发时，系统会自动向您指定的飞书（Lark）群发送告警通知。飞书（Lark）群收到通知后，您可以在群中对告警进行管理。 操作步骤 步骤一：获取机器人Webhook地址 1. 打开并登录飞书（Lark）。 2. （可选） 单击+ 图标，然后单击创建群组，新建一个用于发送告警的群组。 3. 在飞书群右上角选择 > 设置 ，然后单击群机器人。 4. 在群机器人 面板单击添加机器人，然后选择自定义机器人。 5. 在机器人配置页设置机器人名称和描述，然后单击添加。 6. 复制Webhook地址，然后选中自定义关键词并输入关键词为告警。 7. 单击完成。 步骤二：在应用性能监控控制台中创建机器人 1. 登录【应用性能监控控制台】，在左侧导航栏选择告警管理 > 通知对象。 2. 单击钉钉/飞书/企微 页签，然后单击飞书/Lark。 3. 在新建机器人面板设置以下参数，然后单击确定。 参数 说明 名称 自定义飞书（Lark）机器人的名称。 机器人地址 输入飞书机器人的Webhook地址。 告警模板 可编辑告警模板内容，告警触发时将根据模板内容进行发送。 恢复模板 可编辑告警模板内容，告警恢复时将根据模板内容进行发送。

配置识别模板的操作方法 您可以通过自定义模板来支持修改模板的内容。自定义模板支持修改模板内容，若您需要修改模板的内容，请按照编辑分类分级模板操作。 模板的规则分类支持修改，如果您需要修改规则分类，请按照修改模板规则分类操作。 约束限制 内置模板不支持编辑修改。 编辑识别模板 步骤 1 登录管理控制台。 步骤 2 单击左上角的，选择区域或项目。 步骤 3 在左侧导航树中，单击，选择选择“安全 > 数据安全中心”，进入数据安全中心总览界面。 步骤 4 在左侧导航树中选择“敏感数据识别 > 识别配置”，进入识别模板页签。 步骤 5 单击目标模板的“详情”进入模板详情界面。 鼠标移动至“分类名称”时： 单击创建新的分类名称。 单击编辑分类名称。 单击删除分类名称。 单击左侧“分类名称”，在右侧查看相关分类规则，支持多选。 右侧分类规则列表左上角单击“添加规则”，具体参见新建自定义规则章节。 单击“批量删除”，删除右侧勾选的规则。 单击“状态”列可以选择打开或者关闭此条规则。 单击“操作”列“查看详情”，可以编辑规则内容。 单击“操作”列“删除”，删除规则。

云硬盘容量不足了怎么办？ 当您云硬盘容量不足且可能影响到自身业务时，可以参考以下内容来解决此问题： 单独购买一块云硬盘做数据盘，并挂载至弹性云主机，挂载成功之后进行初始化。具体操作步骤请参见云硬盘快速入门。 扩容当前已有云硬盘，系统盘和数据盘均可进行扩容。操作步骤请参见扩容云硬盘。 清理当前云硬盘上不需要的程序、文件来清理磁盘空间，具体步骤可参见： 解决Linux云主机磁盘空间不足的问题 解决Windows弹性云主机磁盘空间不足的问题 本地盘实例怎么添加到云主机组？ 本地盘实例 创建后无法加入云主机组 ，如需使用云主机组功能，请在购买时选择云主机组。 云主机组是对云主机的一种逻辑划分，云主机组中的弹性云主机遵从同一策略，如强制反亲和性、强制亲和性、反亲和性、亲和性等。 如何只对系统盘进行快照？ 操作方法如下： 1. 在云主机控制台选中该云主机，点击进入详情页 2. 点击云硬盘标签，在磁盘属性中找到“系统盘”，复制该云盘名称。 3. 在“控制中心所有服务”页面，单击“存储>云硬盘”，进入云硬盘主页面 4. 在云硬盘列表页搜索第2步复制好的云盘名称，找到该系统盘。 5. 点击该系统盘“操作>创建快照”, 进入“创建快照”页面，创建快照。 更多操作信息可参考创建云硬盘快照。

操作 说明 搜索文件 在搜索文本框中输入关键字，单击 搜索 预览文件 在列表“名称”列中单击文件名称，跳转至文件预览页面，可查看所选文件内容。当文件页数过多或文件已加密时，不支持预览，需下载后查看文件内容。 下载文件 在列表“操作”列中单击，即可下载对应文件。

本节介绍云容器引擎的最佳实践:容器升级业务不中断。 应用场景 在 Kubernetes 集群中，常见的应用部署模式是使用 Deployment 与 LoadBalancer 类型的Service 对外提供访问。在进行应用更新或升级时，Deployment 会创建新的 Pod 并逐步替换旧的 Pod，但在这个过程中可能会出现服务中断的情况。 解决方案 为了最大程度的减少服务中断，我们可以采取一系列措施： 设置滚动更新策略：通过设置Deployment的滚动更新策略来控制更新的速度，可以指定更新期间的最大不可用副本数（maxUnavailable）和同时可用的最大副本数（maxSurge），通过合理设置这些参数，可以确保在更新过程中保持足够的可用性。 健康检查和就绪探针：在容器中配置健康检查和就绪探针，确保新Pod在完全就绪之前不会接收流量，从而减少中断。 外部负载均衡器配置：如果使用LoadBalancer类型的Service对外提供访问，可以配置服务对外部请求的负载均衡行为，主要包括以下两种： 1. Cluster：默认模式，外部流量可以转发到其它节点上的Pod，转发时会替换掉报文的源IP为上一个转发节点的地址。 2. Local：外部流量只会发给本机的Pod，转发时会保留源IP。 实践 登录云容器引擎控制台，单击集群名称进入集群 左侧菜单栏选择工作负载，在工作负载列表中，单击无状态进入Deployment列表页，单击创建新Deployment，进入Deployment配置页面。 单击显示 高级设置，升级策略处可以自定义MaxSurge与MaxUnavailable。本示例中配置最大不可用副本数为25%，同时可用的最大副本数为25%，用于控制工作负载的滚动步长。 在实例内容器选框位置，单击显示 高级设置，容器健康检查选区可以设置存活检查与就绪检查。本示例为TCP端口检查，请根据应用实际情况进行设置，配置就绪检查的启动延时探测时间为20s，用于控制工作负载滚动更新的时间间隔。 在实例内容器选框位置，单击显示 高级设置，对容器进行停止前处理，可以设置为工作负载收到删除请求后休眠30s，使其具备充足的时间来处理剩余请求，保证服务正常运行。 左侧菜单栏选择网络，在网络列表中，单击服务进入Service列表，单击创建服务，进入Service配置页面。 服务类型选择负载均衡，下方访问设置处会出现外部流量策略选框，用户可以自行选择Cluster类型流量策略或Local类型流量策略。 单击显示 高级设置，可以选择Session Affinty方式。 1. None：Kubernetes不会保持与特定客户端的会话状态，每个请求都根据负载均衡算法独立地路由到后端Pod，意味着即使是来自同一客户端的连续请求，也可能被发送到不同的后端Pod上，从而不会保持会话状态。 2. 客户端IP：Kubernetes将使用客户端的IP地址来决定将请求路由到哪个后端Pod，同一个客户端的请求始终转发至同一个后端的Pod对象。 设置完成后，进入Deployment列表页，选择某个工作负载，单击右侧重新部署，重启方式选择滚动重启，可以看到新实例被首先创建出来，然后停止旧的实例，确保始终有实例正在运行。

事件类型 告警事件 原理说明 恶意软件 未分类恶意软件 通过程序特征、行为检测，结合AI图像指纹算法以及云查杀，有效识别后门、木马、挖矿软件、蠕虫和病毒等恶意程序，也可检测出容器中未知的恶意程序和病毒变种。 恶意软件 勒索软件 检测来自网页、软件、邮件、存储介质等介质捆绑、植入的勒索软件。 勒索软件用于锁定、控制您的文档、邮件、数据库、源代码、图片、压缩文件等多种数据资产，并以此作为向您勒索钱财的筹码。 恶意软件 Webshell 检测容器中Web目录中的文件，判断是否为Webshell木马文件，支持检测常见的PHP、JSP等后门文件类型。 恶意软件 黑客工具 检测利用漏洞或者黑客工具的恶意行为，一旦发现进行告警上报。 漏洞利用 漏洞逃逸攻击 HSS监控到容器内进程行为符合已知漏洞的行为特征时（例如：“脏牛”、“bruteforce”、“runc”、“shocker”等），触发逃逸漏洞攻击告警。 漏洞利用 文件逃逸攻击 HSS监控发现容器进程访问了宿主机系统的关键文件目录（例如：“/etc/shadow”、“/etc/crontab”），则认为容器内发生了逃逸文件访问，触发告警。即使该目录符合容器配置的目录映射规则，HSS仍然会触发告警。 系统异常行为 反弹Shell 支持对TCP、UDP、ICMP等协议的检测。 您可以在“策略管理”的“恶意文件检测”策略中配置反弹Shell检测，HSS会实时检测执行的可疑指令、主机被远程控制执行任意命令等。 系统异常行为 文件提权 检测利用SUID、SGID程序漏洞进行root提权的行为，一旦发现进行告警上报。 系统异常行为 进程提权 当黑客成功入侵容器后，会尝试利用漏洞进行root提权或者文件提权，从而达到非法创建和修改系统账号的权限或者篡改文件的目的。 HSS支持检测以下异常提权操作： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 对文件的提权。 系统异常行为 关键文件变更 实时监控系统关键文件（例如：ls、ps、login、top等），对修改文件内容的操作进行告警，提醒用户关键文件可能被篡改。 对于关键文件变更，HSS只检测文件内容是否被修改，不关注是人为还是进程进行的修改。 系统异常行为 进程异常行为 检测各个主机的进程信息，包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 系统异常行为 高危系统调用 Linux系统调用是用户进程进入内核执行任务的请求通道。CGS监控容器进程，如果发现进程使用了危险系统调用（例如：“openbyhandleat”、“ptrace”、“setns”、“reboot”等），触发高危系统调用告警。 系统异常行为 高危命令执行 实时检测容器系统中执行的高危命令，当发生高危命令执行时触发告警。 系统异常行为 容器进程异常 容器恶意程序 HSS监控容器内启动的容器进程的行为特征和进程文件指纹，如果特征与已定义的恶意程序吻合则触发容器恶意程序告警。 容器异常进程 容器业务通常比较单一。如果您能够确定容器内只会运行某些特定进程，可以在“策略管理”设置“容器进程白名单”并将策略关联容器镜像。 对于已关联的容器镜像启动的容器，HSS只允许白名单进程启动，如果容器内存在非白名单进程，触发容器异常程序告警。 系统异常行为 敏感文件访问 HSS监控容器内已配置文件保护策略的容器镜像文件状态。如果发生文件修改事件则触发文件异常告警。 系统异常行为 容器异常启动 HSS监控新启动的容器，对容器启动配置选项进行检测，当发现容器权限过高存在风险时触发告警。容器环境检测触发的告警只是提醒容器启动风险，并不是发生实际攻击。如果黑客利用容器配置风险执行了真实攻击，仍然会触发HSS容器安全的其他检测告警。 HSS支持以下容器环境检测： 禁止启动特权容器(privileged:true) 特权容器是指容器以最大权限启动，类似与操作系统的root权限，拥有最大能力。docker run启动容器时携带“–privilegedtrue”参数，或者kubernates POD配置中容器的“securityContext”配置了“privileged:true”，此时容器会以特权容器方式启动。 告警内容中提示：“privileged:true”，表示该容器以特权容器模式启动。 需要限制容器能力集（capabilities:[xxx]） Linux系统将系统权限做了分类，通过授予特定的权限集合，能控制容器进程的操作范围，避免出现严重问题。容器启动时默认开启了一些常用能力，通过修改启动配置可以放开所有系统权限。 告警内容中提示：“capabilities:[xxx]”，表示该容器启动时拥有所有能力集过大，存在风险。 建议启用seccomp（seccompunconfined） Seccomp(secure computing mode)是Linux的一种内核特性，用于限制进程能够调用的系统调用，减少内核的攻击面。如果容器启动时设置“seccompunconfined”，将不会对容器内的系统调用执行限制。 告警内容中提示：“seccompunconfined”，表示该容器启动时没有启动seccomp，存在风险。 说明 启用seccomp后，由于每次系统调用Linux内核都需要执行权限校验，如果容器业务场景会频繁使用系统调用，开启seccomp对性能会有一定影响。具体影响建议在实际业务场景测试分析。 限制容器获取新的权限(nonewprivileges:false) 进程可以通过程序的suid位或者sgid位获取附加权限，通过sudo提权执行更高权限的操作。容器默认配置限制不允许进行权限提升。 如果容器启动时指定了“–nonewprivilegesfalse”，则该容器拥有权限提升的能力。 告警内容中提示：“nonewprivileges:false”，表示该容器关闭了提权限制，存在风险。 危险目录映射(mounts:[...]) 容器启动时可以将宿主机目录映射到容器内，方便容器内业务直接读写宿主机上的资源。这是一种存在风险的使用方式，如果容器启动时映射了宿主机操作系统关键目录，容易造成从容器内破坏宿主机系统的事件。 HSS监控到容器启动时mount了宿主机危险路径时触发告警，定义的宿主机危险目录包括：“/boot”，“/dev”，“/etc”，“/sys”，“/var/run”等。 告警内容中提示：“mounts:[{"source":"xxx","destination":"yyy"...]”，表示该容器映射的文件路径存在风险。 说明 对于docker容器常用的需要访问的宿主文件如“/etc/hosts”、“/etc/resolv.conf”不会触发告警。 禁止启动命名空间为host的容器 容器的命名空间需要与主机隔离开，如果容器配置了与主机相同的命名空间，则该容器可以访问并修改主机上的内容，易造成容器逃逸的安全事件，存在安全风险。因此HSS会检测容器的pid，network，ipc命名空间是否为host。 告警名称为“容器命名空间”，告警内容中提示“容器pid命名空间模式”、“容器ipc命名空间模式”、“容器网络命名空间模式”，表示启动了命名空间为host的容器，需要按照告警中的提示排查容器的启动选项，如果存在业务需要，可以将该告警事件忽略。 容器镜像阻断 在Docker环境中容器启动前，HSS检测到中指定的不安全容器镜像运行时触发告警。 说明 需安装Docker插件。 用户异常行为 非法系统账号 黑客可能通过风险账号入侵容器，以达到控制容器的目的，需要您及时排查系统中的账户。 HSS检查系统中存在的可疑隐藏账号、克隆账号；如果存在可疑账号、克隆账号等，则触发告警。 用户异常行为 暴力破解 检测容器场景下“尝试暴力破解”和“暴力破解成功”等暴破异常行为，发现暴破行为时触发告警。 支持检测容器场景下SSH、Web和Enumdb暴破行为。 说明 目前暂仅支持Docker容器运行时的暴力破解检测告警。 用户异常行为 用户密码窃取 检测到通过非法手段获取用户密钥行为，一旦发现进行告警上报。 网络异常访问 异常外联行为 检测到服务器存在异常外联可疑IP的行为，一旦发现进行告警上报。 网络异常访问 端口转发检测 检测到利用可疑工具进行端口转发行为，一旦发现进行告警上报。

参数 参数类型 说明 示例 下级对象 reposyncRuleId Long 规则ID 1672892136646057985 ruleName String 规则名称 myRule ruleDesc String 规则描述 desc srcTag String 源版本，表示全部 syncMode String 同步类型，导入规则：migrate 同步规则：sync 默认值: sync sync srcType String 源仓库类型,crs: 镜像仓库实例 oss：对象存储 huaweiSWR：华为云 tencenttcr：腾讯云企业版 aliacr：阿里云企业版 默认值：crs crs srcInstanceId String 源实例ID f04e47d9b48747958c9f4516cf1a8d82 srcNamespaceId String 源命名空间ID f5b49578426e6da458fb9aba36d8cfdb dstInstanceId String 目标实例ID 59793156d5524c56b69b6c5b824a5f43 dstNamespaceId String 目标命名空间ID 0d24866c7ff243d2898d5c4817eb4627 srcRepositoryId String 源仓库ID，1表示全部 1 ruleContent String 同步内容, Image:镜像 Chart All：镜像和chart isOverride Boolean 是否覆盖,true表示覆盖，false表示不覆盖 true syncScene String 同步场景,同账户：sameaccount 跨账户：crossaccount 外部迁移：external sameaccount latestN Long 保留最近镜像个数 ,0代表保留所有 0 state String 是否启用 ，ENABLE DISABLE ENABLE

演练 演练的目的主要有以下： 1. 验证迁移工具与过程的可行。 2. 发掘迁移过程中遇到的问题，并作出有效的改进。 3. 评估迁移耗时。 4. 优化迁移步骤，验证部分工作并行的可行性，提高迁移效率。 备份 在迁移前，需要先行备份，包括但不限于缓存数据、Redis配置文件，用于应急。 迁移 在完成一到两轮的迁移演练，并根据演练过程中发现的问题进行优化后，正式开始数据迁移。 迁移过程应该细化到每一步可执行的步骤，有明确的开始与结束确认动作。 数据验证 缓存数据的验证可以包括以下几方面： 各数据库的key分布是否与原来或者迁移预期一致 关键key的检查 key的过期时间检查 实例是否能够正常备份和恢复 业务切换 1. 当缓存数据完成迁移，且验证无误后，业务可以正式切换缓存数据的连接，恢复对外。 2. 如果涉及到缓存数据库编号的变化，业务还需修改编号的选择配置。 3. 如果业务整体由数据中心或其他云厂商迁移到云服务，业务和缓存数据的迁移可并行。 业务验证 业务切换后建议验证内容包含以下： 1. 业务应用与DCS缓存实例的连通。 2. 通过业务操作对缓存数据的增删改查。 3. 如果条件满足，进行压测，确认性能满足业务峰值压力。 回退 当遇到演练中没有及时发现的问题，导致数据迁移后无法供业务使用，且短期无法解决，则涉及到业务回退。 由于源Redis数据仍然存在，因此只需业务完成回退，重新接入源Redis实例即可。 在完成回退后，可继续从演练甚至准备阶段重新开始，解决问题。

演练 演练的目的主要有以下： 1. 验证迁移工具与过程的可行。 2. 发掘迁移过程中遇到的问题，并作出有效的改进。 3. 评估迁移耗时。 4. 优化迁移步骤，验证部分工作并行的可行性，提高迁移效率。 备份 在迁移前，需要先行备份，包括但不限于缓存数据、Redis配置文件，用于应急。 迁移 在完成一到两轮的迁移演练，并根据演练过程中发现的问题进行优化后，正式开始数据迁移。 迁移过程应该细化到每一步可执行的步骤，有明确的开始与结束确认动作。 数据验证 缓存数据的验证可以包括以下几方面： 各数据库的key分布是否与原来或者迁移预期一致 关键key的检查 key的过期时间检查 实例是否能够正常备份和恢复 业务切换 1. 当缓存数据完成迁移，且验证无误后，业务可以正式切换缓存数据的连接，恢复对外。 2. 如果涉及到缓存数据库编号的变化，业务还需修改编号的选择配置。 3. 如果业务整体由数据中心或其他云厂商迁移到云服务，业务和缓存数据的迁移可并行。 业务验证 业务切换后建议验证内容包含以下： 1. 业务应用与DCS缓存实例的连通。 2. 通过业务操作对缓存数据的增删改查。 3. 如果条件满足，进行压测，确认性能满足业务峰值压力。 回退 当遇到演练中没有及时发现的问题，导致数据迁移后无法供业务使用，且短期无法解决，则涉及到业务回退。 由于源Redis数据仍然存在，因此只需业务完成回退，重新接入源Redis实例即可。 在完成回退后，可继续从演练甚至准备阶段重新开始，解决问题。

本文介绍如何通过对象存储上传多种类型的文件。 使用场景 您可以根据需要将文本、图片、视频等文件上传。 使用限制 支持控制台直接上传文件夹。 设定桶的配额可以限制一个桶要上传的对象总容量/总数量。详情请参见桶配额。 当文件名相同的文件上传到同一个Bucket时，若未开启版本控制，新上传的文件将覆盖同名文件，旧文件将被新文件覆盖；若开启版本控制，新上传的文件将创建一个新的版本，而不是直接覆盖原有的同名文件，同一个Bucket下保存多个同名文件的不同版本。 当新上传的文件夹和桶内的文件夹名称相同，若未开启版本控制，上传后旧文件夹和新文件夹将合并。 使用方式 使用方式 参考文档 :: 控制台 详情请参见上传文件。 ZOS管理控制台一次最多可以一次性上传100个文件，总大小为5GB。 如果在ZOS管理控制台只上传一个文件，文件最大大小为5GB。 SDK ZOS支持多种SDK，关于SDK的代码示例请参见开发者文档。 通过SDK的PUT上传、追加上传和预签名上传文件，可以上传小于5GB的文件。 通过SDK的分段上传、断点续传和预签名分段上传，可以上传小于48.8TB的文件。每个分段最大5GB，最多支持1万个分片。 API 详情请参见生成对象上传链接。

云监控EIP带宽使用统计与ELB监控的网络流出速率数据为何不一致？ 以下两种情况监控EIP带宽使用统计与ELB监控的网络流出速率数据不一致： 如果流量没有超过EIP带宽，EIP未被限流，云监控EIP带宽使用统计外网访问数据，而ELB不仅采集外网访问数据，而且采集内网访问的数据。 如果流量超过EIP带宽，EIP会被限流，ELB内访问的数据流量跟EIP访问数据流量不是一个路径，ELB内访问数据流量不会被限流。 如何检查弹性负载均衡会话保持不生效问题？ 查看后端服务器组上是否开启了会话保持。 查看后端云服务器的健康检查状态是否正常，如果异常，流量会切换到其他后端云服务器，导致会话保持失效。 如果选择的是源IP算法，需要注意请求到达弹性负载均衡之前IP是否发生变化。 如果是HTTP或HTTPS监听器，配置了会话保持，不用观察session是否丢失，而需要注意发送的请求是否带有cookie，如果带有cookie，则观察该cookie值是否发生了变化（因为7层会话保持基于cookie）。 每IP地址组支持多少IP地址？ 每个IP地址组最多可添加300个IP地址和网段。 说明 如果IP地址组未包含任何IP地址，当访问控制选择白名单时，则对应的负载均衡监听器禁止任何IP地址访问。 如何获取来访者的真实IP？ 当客户端通过ELB访问后端服务器时，客户端真实的IP地址会被ELB转换，后端服务器获取到的往往是ELB转换后的客户端IP地址。如果需要获取到客户端的真实IP，可以按如下方法操作。 七层服务（HTTP/HTTPS协议）：需要对应用服务器进行配置，然后使用XForwardedFor的方式获取来访者的真实IP地址，详见下文内容。 四层服务（TCP/UDP协议）：开启监听器的“获取客户端IP”功能，详见下文内容。

参数 类型 是否必填 名称 说明 domain string 是 域名 productcode string 否 产品类型 “001”（静态加速）,“003”:（下载加速）, “004”（视频点播加速）,“008”（CDN加速），“014”（下载加速闲时） ipv6enable int 否 ipv6启用 未传代表不修改，1（启用）； 2（关闭） origin list<originsingle> 否 回源信息 未传代表不修改，有传代表整个数组全量修改，字段originsingle详细说明见下方 xosoriginis int 否 是否开启云存储XOS源站配置功能 枚举值：0（关闭）， 1（开启）；默认0 xosorigin object 否 云存储XOS源站信息 未传代表不修改，有传代表整个数组全量修改，字段xosorigin详细说明见下方 reqhost string 否 回源host设置 传空字符串""代表删除，未传代表不修改 originhosttype int 否 主备源携带不同的回源host是否开启 未传代表不修改，0（关闭） ；1（开启） originhosthttp dict 否 http类型origin带不同的回源host 传空对象{}代表删除，未传代表不修改，有传代表整个dict全量修改，格式：{origin:回源host}；主备源携带不同的回源host开启（即originhosttype等于1），同时配置origin带不同的回源host和回源host，且都有传具体值，则以origin带不同的回源host生效（清空回源host） backuporigintimeout string 否 回源连接超时时间，单位秒 backuporiginresptimeout string 否 回源响应超时时间，单位秒 blackreferer dict 否 referer黑名单 传空对象{}代表删除，未传代表不修改，有传代表整个dict全量修改，字段blackreferer详细说明见下方,黑白名单只允许存在一个，若同时存在只处理黑名单 blackreferercondition dict 否 referer黑名单condition 传空对象{}代表删除，未传代表不修改，有传代表整个dict全量修改，删除blackreferer数据的话condition也要删除，格式:{“blackreferer”:[{“mode”:类型, “content”:“配置内容，多个以逗号间隔”}]},mode取值:默认0, 0:文件后缀 1:目录 2: 首页 3: 全部文件 4: 全路径。本参数仅适用于类型为新框架的域名，旧框架域名修改不生效，当前只支持配置单条全量修改，字段blackreferer详细说明见下方,黑白名单只允许存在一个，若同时存在只处理黑名单 whitereferer dict 否 referer白名单 传空对象{}代表删除，未传代表不修改，有传代表整个dict全量修改，字段whitereferer详细说明见下方 whitereferercondition dict 否 referer白名单condition 传空对象{}代表删除，未传代表不修改，有传代表整个dict全量修改，删除whitereferer数据的话condition也要删除，格式:{“whitereferer”:[{“mode”:类型, “content”:“配置内容，多个以逗号间隔”}]},mode取值:默认0, 0:文件后缀 1:目录 2: 首页 3: 全部文件 4: 全路径。本参数仅适用于类型为新框架的域名，旧框架域名修改不生效，当前只支持配置单条 useragent dict 否 useragent黑白名单配置 传空对象{}代表删除，未传代表不修改，有传代表整个dict全量修改，字段useragent详细说明见下方 filetypettl list<filetypettlsingle> 否 缓存类型设置 传空数组[]代表删除，未传代表不修改，有传代表整个数组全量修改，字段filetypettlsingle详细说明见下方 ipblacklist string 否 ip黑名单 传空字符串""代表删除，未传代表不修改，黑白名单只允许存在一个，若同时存在只处理黑名单,支持ip段与ip，多个ip/ip段以逗号分割，示例：1.1.1.1,2.2.2.2,::1,3.3.3.34.4.4.4 ipwhitelist string 否 ip白名单 传空字符串""代表删除，未传代表不修改，黑白名单只允许存在一个，若同时存在只处理黑名单,支持ip段与ip，多个ip/ip段以逗号分割，示例：1.1.1.1,2.2.2.2,::1,3.3.3.34.4.4.4 reqheaders list<reqheaderssingle> 否 自定义回源请求头 传空数组[]代表删除，未传代表不修改，有传代表整个数组全量修改，字段reqheaderssingle详细说明见下方 respheaders list<respheaderssingle> 否 自定义响应头 传空数组[]代表删除，未传代表不修改，有传代表整个数组全量修改，字段respheaderssingle详细说明见下方 errorcode list<errorcodesingle> 否 错误状态码缓存 传空数组[]代表删除，未传代表不修改，有传代表整个数组全量修改，字段errorcodesingle详细说明见下方 sharedhost string 否 共享缓存域名 传空字符串""代表删除，未传代表不修改 httpsstatus string 否 https是否开启 未传代表不修改，取值：on、off certname string 否 国际证书备注名 未传代表不修改，传空字符串代表删除 certnamegm string 否 国密证书备注名 未传代表不修改，传空字符串代表删除 httpsbasic dict 否 https基础信息 未传代表不修改，有传代表整个dict全量修改，字段httpsbasic详细说明见下方 basicconf dict 否 http配置基础信息 传空对象{}或未传均代表不修改，有传代表增量修改，字段basicconf详细说明见下方 limitspeeduri list<limitspeedurisingle> 否 基于url参数限速 传空数组[]代表删除，未传代表不修改，有传代表整个数组全量修改，字段limitspeedurisingle详细说明见下方 limitspeeduricondition dict 否 limitspeeduri的condition配置 传空对象{}代表删除，未传代表不修改，有传代表整个dict全量修改，格式:{“{key}”:[{“mode”:类型,“content”:“配置内容，多个以逗号间隔”}]}，mode类型为int，取值默认0,可以为：0(文件后缀),1(目录),2(首页),3(全部文件),4(全路径),key为limitspeeduri中的id.使用限制：一个key对应的数组大小只能是1，因为配置平台实际只支持配置一条；content必填，长度大于0，不能为空字符串或者空白字符串 limitspeedconst list<limitspeedconstsingle> 否 基于固定值限速 传空数组[]代表删除，未传代表不修改，有传代表整个数组全量修改，字段limitspeedconstsingle详细说明见下方 limitspeedconstcondition dict 否 limitspeedconst的condition配置 传空对象{}代表删除，未传代表不修改，有传代表整个dict全量修改，格式:{“{key}”:[{“mode”:类型,“content”:“配置内容，多个以逗号间隔”}]}，mode类型为int，取值默认0,可以为：0(文件后缀),1(目录),2(首页),3(全部文件),4(全路径),key为limitspeedconst中的id。使用限制：一个key对应的数组大小只能是1，因为配置平台实际只支持配置一条；content必填，长度大于0，不能为空字符串或者空白字符串 remotesyncauth list<remotesyncauthsingle> 否 远程同步鉴权客户自助 传空数组[]代表删除，未传代表不修改，有传代表整个数组全量修改，字段remotesyncauthsingle详细说明见下方 remotesyncauthcondition dict 否 远程同步鉴权condition 传空对象{}代表删除，未传代表不修改，有传代表整个dict全量修改，格式:{“key”:[{“mode”:类型, “content”:“配置内容，多个以逗号间隔”}]}, mode类型为int，取值默认0,可以为：0(文件后缀),1(目录),2(首页),3(全部文件),4(全路径),key为remotesyncauth中的id ssl string 否 ssl协议类型 传空字符串"“代表删除，未传代表不修改，支持TLSv1 、TLSv1.1 、TLSv1.2 、TLSv1.3，默认值为”"，支持多选，多个用英文逗号分隔 sslstapling string 否 ocsp stapling开关 未传代表不修改，on（开启），off（关闭） cusgzip list<cusgzipsingle> 否 文件压缩 传空数组[]代表删除，未传代表不修改，有传代表整个数组全量修改，字段cusgzipsingle详细说明见下方，原来文件压缩的字段为gzip字段，现改成cusgzip，两参数不能同时传，若之前用的是gzip字段建议迁移至cusgzip cusgzipcondition dict 否 文件压缩condition配置 传空对象{}代表删除，未传代表不修改，有传代表整个dict全量修改，格式:{“key”:[{“mode”:类型, “content”:“配置内容，多个以逗号间隔”}]}, mode取值:默认0, 0:文件后缀 1:目录 2: 首页 3: 全部文件 4: 全路径。key为cusgzip中的id，本参数仅适用于类型为新框架的域名，旧框架域名修改不生效，且修改本参数时，cusgzip必传 entrylimits list<entrylimitssingle> 否 限频自助参数 传空数组[]代表删除，未传代表不修改，有传代表整个数组全量修改，字段entrylimitssingle详细说明见下方，本参数仅适用于类型为新框架的域名，旧框架域名修改不生效。特别注意，若传空数组[]删除entrylimits参数时，若entrylimitscondition有值，也需要entrylimitscondition传空对象{}删除。 entrylimitscondition dict 否 限频自助参condition配置 传空对象{}代表删除，未传代表不修改，有传代表整个dict全量修改，格式:{“key”:[{“mode”:类型, “content”:“配置内容，多个以逗号间隔”}]}, mode取值:默认0, 0:文件后缀 1:目录 2: 首页 3: 全部文件 4: 全路径。key为entrylimits中的id，本参数仅适用于类型为新框架的域名，旧框架域名修改不生效 cachekeyargs list<cachekeyargssingle> 否 缓存参数 传空数组[]代表删除，未传代表不修改，有传代表整个数组全量修改，字段cachekeyargssingle详细说明见下方 cachekeyargscondition dict 否 缓存参数condition配置 传空对象{}代表删除，未传代表不修改，有传代表整个dict全量修改，格式:{“key”:[{“mode”:类型, “content”:“配置内容，多个以逗号间隔”}]}, mode取值:默认0, 0:文件后缀 1:目录 2: 首页 3: 全部文件 4: 全路径。key为cachekeyargs中的id，本参数仅适用于类型为新框架的域名，旧框架域名修改不生效 backoriginurirewrite list<backoriginurirewrite> 否 回源uri改写 传空对象[]代表删除，未传代表不修改，有传代表全量修改;字段backoriginurirewrite详细说明见下方 backoriginurirewritecondition dict 否 回源uri改写condition配置 传空对象{}代表删除，未传代表不修改，有传代表整个dict全量修改；格式:{“key”:[{“mode”:类型, “content”:“配置内容，多个以逗号间隔”}]}, mode取值:默认0, 0:文件后缀 1:目录 2: 首页 3: 全部文件 4: 全路径。key为backoriginurirewrite中的id，本参数仅适用于类型为新框架的域名，旧框架域名修改不生效 backoriginargrewrite list<backoriginargrewrite> 否 回源参数改写 传空对象[]代表删除，未传代表不修改，有传代表全量修改;字段backoriginargrewrite详细说明见下方 backoriginargrewritecondition dict 否 回源参数改写condition配置 传空对象{}代表删除，未传代表不修改，有传代表整个dict全量修改；格式:{“key”:[{“mode”:类型, “content”:“配置内容，多个以逗号间隔”}]}, mode取值:默认0, 0:文件后缀 1:目录 2: 首页 3: 全部文件 4: 全路径。key为backoriginargrewrite中的id，本参数仅适用于类型为新框架的域名，旧框架域名修改不生效 ignorebackoriginargs int 否 是否忽略回源参数 枚举值：0（不忽略），1（忽略）；默认0 dnsquery dict 否 回源域名解析 字段dnsquery详细说明见下方 errorpage list<errorpagesingle> 否 错误页面重定向 传空数组[]代表删除，未传代表不修改，有传代表整个数组全量修改，字段errorpagesingle详细说明见下方 defineredirect list<defineredirect> 否 自定义重定向配置 传空对象[]代表删除，未传代表不修改，有传代表全量修改;字段defineredirect详细说明见下方 defineredirectcondition dict 否 自定义重定向condition配置 传空对象{}代表删除，未传代表不修改，有传代表整个dict全量修改；格式:{“key”:[{“mode”:类型, “content”:“配置内容，多个以逗号间隔”}]}, mode取值:默认0, 0:文件后缀 1:目录 2: 首页 3: 全部文件 4: 全路径；其中key为defineredirect:id

本文通过完全开源的RAGFlow服务与云搜索服务的OpenSearch向量数据库与搜索大模型快速构建智能知识问答(RAG)服务。 RAGFlow 是一款基于深度文档理解的开源RAG（检索增强生成）引擎。它为企业级用户提供了一套端到端的 RAG 解决方案，通过结合大语言模型（LLM） 的能力，实现对多样化复杂格式数据的精准解析与知识检索，为用户提供依据充分、真实可靠的问答服务，并确保所有回答均附带可追溯的引用来源。 RAG（Retrieveraugmented Generation）是一种结合了信息检索和生成的自然语言处理（NLP）技术，特别适用于需要从大量数据中检索信息并生成自然语言文本的场景。它在处理复杂任务时能够提升生成模型的性能，尤其是在模型缺乏足够上下文或知识的情况下。 RAG的优势 RAG通过检索外部知识库或数据库中的相关信息，能够在生成过程中动态地补充实时或特定领域的知识，弥补了生成模型的“知识盲区”。这使得模型能够在没有训练时直接获得的信息基础上进行更加准确的回答或内容生成。针对企业内部包含的敏感数据（如薪资标准、客户资料等）以及大量专有信息（包括产品文档、客户案例、流程手册等），RAG提供了安全的解决方案。由于这些非公开信息无法直接预置到大模型中，RAG通过外部知识调用的方式，既满足了信息需求，又确保了数据安全性。

本文介绍如何进行文件系统的权限组管理。 权限组概述 权限组是一种白名单机制，用户可以通过添加权限组规则授予指定的源IP地址访问文件系统的权限，即管理来访客户端的访问权限。 使用限制 默认单用户单地域可以添加20个权限组，每个权限组可添加400个权限组规则。 弹性文件服务存在一个默认权限组，默认权限组不能编辑、不能删除；默认权限组中的权限规则默认为全部放通，不能新增、编辑、删除。默认权限组将占用一个权限组配额。新建的文件系统自动关联默认权限组。 支持的权限组管理功能的资源池请参见产品能力地图。 注意 当客户端从“读写”权限改为“只读”权限再改回“读写”权限时，需要重新挂载客户端。 创建权限组 1. 登录天翼云控制中心，在控制台左上角选择地域。 2. 选择 “存储>弹性文件服务SFS Turbo”，进入SFS Turbo文件系统列表页面。 3. 在控制台左侧点击“权限组”标签页，进入权限组管理页面 4. 点击“创建权限组”，在弹窗中设置名称、网络类型（默认专有网络）和描述内容。各参数说明如下： 参数 说明 名称 权限组名称，只能由数字、字母、“”组成，不能以数字和“”开头、且不能以“”结尾，2~63字符。 网络类型 默认专有网络。 描述内容 权限管理描述内容，长度为0128字符。 5. 完成后点击“确定”，等待数秒后，权限组页面会自动刷新，若列表中有新创建的权限组则表示创建成功。 6. 在权限组列表右侧操作列下单击“修改”，可修改权限组描述内容。

输入内容 说明 选择数据库 数据库实例选择列表，数据来源于数据资产>元数据管理中添加的数据库实例，支持MySQL、PostgreSQL、TeleDB。 导出类型 可以选择整库/模式，整表、SQL结果集三种导出类型其中之一。若是整表导出，需要选择表；若是SQL结果集导出，需要输入SQL查询语句。 导出任务类型 支持CSV（逗号分隔值）、SQL文件、TXT文件。可以根据需要选择最适合工作流程的格式。 导出内容 选择数据、结构、数据和结构

输入内容 说明 选择数据库 数据库实例选择列表，数据来源于数据资产>元数据管理中添加的数据库实例，支持MySQL、PostgreSQL、TeleDB。 导出类型 可以选择整库/模式，整表、SQL结果集三种导出类型其中之一。若是整表导出，需要选择表；若是SQL结果集导出，需要输入SQL查询语句。 导出任务类型 支持CSV（逗号分隔值）、SQL文件、TXT文件。可以根据需要选择最适合工作流程的格式。 导出内容 选择数据、结构、数据和结构

IAM控制台创建自定义策略 1.使用天翼云账号登入IAM控制台。 2.在左侧导航栏，选择 "策略管理" "创建自定义策略"。 3.输入策略名称，输入策略描述（可选），点击下一步。 4.设置策略内容，本文介绍使用可视化视图的方式设置，如果需要使用更灵活的JSON视图，请参考IAM文档。 效果：允许（允许策略中配置的权限），拒绝（拒绝策略中配置的权限） 云服务：搜索关键字“容器镜像服务” 操作：根据需求勾选需要配置的操作（即权限） 资源：具体见资源权限管控内容 条件：该配置参考具体IAM文档。 5. 点击保存，完成自定义策略的创建。 为子账户设置自定义权限策略 1. 使用天翼云账号登入IAM控制台。 2. 在左侧导航栏，选择用户授权子账户。 3. 选择操作 查看，进入用户界面，选择权限管理标签页，选择个人权限的新增权限。 4. 搜索框输入上一步设置的自定义权限策略名称，勾选上一步创建的自定义权限策略。 5. 点击“下一步”，由于CRS自定义权限为全局服务资源，无需设置资源池。 6. 点击 “确定”，即可完成为子账户授权。 CRS资源权限管控 使用IAM的JSON视图创建自定义策略时，可以通过设置资源字段来实现细粒度的资源权限管控。

事件类型 告警事件 原理说明 恶意软件 未分类恶意软件 通过程序特征、行为检测，结合AI图像指纹算法以及云查杀，有效识别后门、木马、挖矿软件、蠕虫和病毒等恶意程序，也可检测出容器中未知的恶意程序和病毒变种。 恶意软件 勒索软件 检测来自网页、软件、邮件、存储介质等介质捆绑、植入的勒索软件。 勒索软件用于锁定、控制您的文档、邮件、数据库、源代码、图片、压缩文件等多种数据资产，并以此作为向您勒索钱财的筹码。 恶意软件 Webshell 检测容器中Web目录中的文件，判断是否为Webshell木马文件，支持检测常见的PHP、JSP等后门文件类型。 恶意软件 黑客工具 检测利用漏洞或者黑客工具的恶意行为，一旦发现进行告警上报。 漏洞利用 漏洞逃逸攻击 HSS监控到容器内进程行为符合已知漏洞的行为特征时（例如：“脏牛”、“bruteforce”、“runc”、“shocker”等），触发逃逸漏洞攻击告警。 漏洞利用 文件逃逸攻击 HSS监控发现容器进程访问了宿主机系统的关键文件目录（例如：“/etc/shadow”、“/etc/crontab”），则认为容器内发生了逃逸文件访问，触发告警。即使该目录符合容器配置的目录映射规则，HSS仍然会触发告警。 系统异常行为 反弹Shell 支持对TCP、UDP、ICMP等协议的检测。 您可以在“策略管理”的“恶意文件检测”策略中配置反弹Shell检测，HSS会实时检测执行的可疑指令、主机被远程控制执行任意命令等。 系统异常行为 文件提权 检测利用SUID、SGID程序漏洞进行root提权的行为，一旦发现进行告警上报。 系统异常行为 进程提权 当黑客成功入侵容器后，会尝试利用漏洞进行root提权或者文件提权，从而达到非法创建和修改系统账号的权限或者篡改文件的目的。 HSS支持检测以下异常提权操作： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 对文件的提权。 系统异常行为 关键文件变更 实时监控系统关键文件（例如：ls、ps、login、top等），对修改文件内容的操作进行告警，提醒用户关键文件可能被篡改。 对于关键文件变更，HSS只检测文件内容是否被修改，不关注是人为还是进程进行的修改。 系统异常行为 进程异常行为 检测各个主机的进程信息，包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 系统异常行为 高危系统调用 Linux系统调用是用户进程进入内核执行任务的请求通道。CGS监控容器进程，如果发现进程使用了危险系统调用（例如：“openbyhandleat”、“ptrace”、“setns”、“reboot”等），触发高危系统调用告警。 系统异常行为 高危命令执行 实时检测容器系统中执行的高危命令，当发生高危命令执行时触发告警。 系统异常行为 容器进程异常 容器恶意程序 HSS监控容器内启动的容器进程的行为特征和进程文件指纹，如果特征与已定义的恶意程序吻合则触发容器恶意程序告警。 容器异常进程 容器业务通常比较单一。如果您能够确定容器内只会运行某些特定进程，可以在“策略管理”设置“容器进程白名单”并将策略关联容器镜像。 对于已关联的容器镜像启动的容器，HSS只允许白名单进程启动，如果容器内存在非白名单进程，触发容器异常程序告警。 系统异常行为 敏感文件访问 HSS监控容器内已配置文件保护策略的容器镜像文件状态。如果发生文件修改事件则触发文件异常告警。 系统异常行为 容器异常启动 HSS监控新启动的容器，对容器启动配置选项进行检测，当发现容器权限过高存在风险时触发告警。容器环境检测触发的告警只是提醒容器启动风险，并不是发生实际攻击。如果黑客利用容器配置风险执行了真实攻击，仍然会触发HSS容器安全的其他检测告警。 HSS支持以下容器环境检测： 禁止启动特权容器(privileged:true) 特权容器是指容器以最大权限启动，类似与操作系统的root权限，拥有最大能力。docker run启动容器时携带“–privilegedtrue”参数，或者kubernates POD配置中容器的“securityContext”配置了“privileged:true”，此时容器会以特权容器方式启动。 告警内容中提示：“privileged:true”，表示该容器以特权容器模式启动。 需要限制容器能力集（capabilities:[xxx]） Linux系统将系统权限做了分类，通过授予特定的权限集合，能控制容器进程的操作范围，避免出现严重问题。容器启动时默认开启了一些常用能力，通过修改启动配置可以放开所有系统权限。 告警内容中提示：“capabilities:[xxx]”，表示该容器启动时拥有所有能力集过大，存在风险。 建议启用seccomp（seccompunconfined） Seccomp(secure computing mode)是Linux的一种内核特性，用于限制进程能够调用的系统调用，减少内核的攻击面。如果容器启动时设置“seccompunconfined”，将不会对容器内的系统调用执行限制。 告警内容中提示：“seccompunconfined”，表示该容器启动时没有启动seccomp，存在风险。 说明 启用seccomp后，由于每次系统调用Linux内核都需要执行权限校验，如果容器业务场景会频繁使用系统调用，开启seccomp对性能会有一定影响。具体影响建议在实际业务场景测试分析。 限制容器获取新的权限(nonewprivileges:false) 进程可以通过程序的suid位或者sgid位获取附加权限，通过sudo提权执行更高权限的操作。容器默认配置限制不允许进行权限提升。 如果容器启动时指定了“–nonewprivilegesfalse”，则该容器拥有权限提升的能力。 告警内容中提示：“nonewprivileges:false”，表示该容器关闭了提权限制，存在风险。 危险目录映射(mounts:[...]) 容器启动时可以将宿主机目录映射到容器内，方便容器内业务直接读写宿主机上的资源。这是一种存在风险的使用方式，如果容器启动时映射了宿主机操作系统关键目录，容易造成从容器内破坏宿主机系统的事件。 HSS监控到容器启动时mount了宿主机危险路径时触发告警，定义的宿主机危险目录包括：“/boot”，“/dev”，“/etc”，“/sys”，“/var/run”等。 告警内容中提示：“mounts:[{"source":"xxx","destination":"yyy"...]”，表示该容器映射的文件路径存在风险。 说明 对于docker容器常用的需要访问的宿主文件如“/etc/hosts”、“/etc/resolv.conf”不会触发告警。 禁止启动命名空间为host的容器 容器的命名空间需要与主机隔离开，如果容器配置了与主机相同的命名空间，则该容器可以访问并修改主机上的内容，易造成容器逃逸的安全事件，存在安全风险。因此HSS会检测容器的pid，network，ipc命名空间是否为host。 告警名称为“容器命名空间”，告警内容中提示“容器pid命名空间模式”、“容器ipc命名空间模式”、“容器网络命名空间模式”，表示启动了命名空间为host的容器，需要按照告警中的提示排查容器的启动选项，如果存在业务需要，可以将该告警事件忽略。 容器镜像阻断 在Docker环境中容器启动前，HSS检测到中指定的不安全容器镜像运行时触发告警。 说明 需安装Docker插件。 用户异常行为 非法系统账号 黑客可能通过风险账号入侵容器，以达到控制容器的目的，需要您及时排查系统中的账户。 HSS检查系统中存在的可疑隐藏账号、克隆账号；如果存在可疑账号、克隆账号等，则触发告警。 用户异常行为 暴力破解 检测容器场景下“尝试暴力破解”和“暴力破解成功”等暴破异常行为，发现暴破行为时触发告警。 支持检测容器场景下SSH、Web和Enumdb暴破行为。 说明 目前暂仅支持Docker容器运行时的暴力破解检测告警。 用户异常行为 用户密码窃取 检测到通过非法手段获取用户密钥行为，一旦发现进行告警上报。 网络异常访问 异常外联行为 检测到服务器存在异常外联可疑IP的行为，一旦发现进行告警上报。 网络异常访问 端口转发检测 检测到利用可疑工具进行端口转发行为，一旦发现进行告警上报。

七、输入输出 执行时会接收 JSON 文本作为输入，并将这些输入数据传递给工作流中的第一个状态。在每个状态中，数据以 JSON 的形式接收，通常以 JSON 的形式作为输出传递给下一个状态。 工作流第一个状态的输入是工作流的执行输入 工作流下一个状态（除第一个状态）的输入是上一个状态的执行输出 数据的输入输出可按照过滤方式或者直接传递的方式对数据进行处理 在处理输入输出的数据的过程中， 可直接调用云工作流提供的内置函数 从而快速实现特定功能， 减少在状态节点的编码工作流。请参见内置函数。 八、错误处理 工作流执行过程中对可能出现的错误进行处理和管理的机制， 从而增强工作流执行的容错性。工作流错误处理包含两部分内容：错误重试（Retry）和错误捕获（Catch）。 错误重试（Retry）：当某个步骤或任务在执行过程中报告错误并且有一个Retry字段时，通过设定重试策略，系统会自动重新尝试执行该步骤或任务，以期望通过几次尝试后成功完成任务。同时可以设置回避因子等参数避免重试造成避免惊群效应。 错误捕获（Catch） ：如果某个流程步骤，即某个状态节点在多次重试后仍然失败，工作流可以通过捕获错误来执行特定的错误处理逻辑， 回退到指定节点重新执行工作流， 从而确保工作流执行的稳定性。

参数 参数类型 是否必填 示例 说明 下级对象 method Array of String 是 本参数表示发送方式，取值范围：1.email：邮箱2.sms：短信 发送方式 token String 是 1411668ec8c13f57472576d5d1603226 token content String 是 这里的内容是测试 发送内容 subject String 否 邮件主题测试 邮件主题 webhookURL String 否 webhook推送url

本节介绍了通过外部镜像文件创建Windows系统盘镜像的流程等内容。 流程概览（Windows） 除了可以通过云主机创建私有镜像，系统也支持外部镜像导入功能，可将您本地或者其他云平台的主机系统盘镜像文件导入至镜像服务私有镜像中。导入后，您可以使用该镜像创建新的云主机，或对已有云主机的系统进行重装。 创建过程 私有镜像创建过程如下图所示。 Windows系统盘镜像创建过程 步骤说明如下： 1. 准备符合平台要求的外部镜像文件，请参考下文“准备镜像文件（Windows）”。 2. 上传外部镜像文件到OBS个人桶中，请参考下文“上传镜像文件（Windows）”。 3. 通过管理控制台选择上传的镜像文件，并将镜像文件注册为私有镜像，请参考下文“注册镜像（Windows）”。 4. 私有镜像注册成功后，使用该镜像创建新的云主机，请参考下文“使用镜像创建弹性云主机（Windows）”。 准备镜像文件（Windows） 您需要提前准备好符合条件的镜像文件。 说明： 下表中，网络、工具、驱动相关的配置需要在虚拟机内部完成，强烈建议您在原平台的虚拟机实施修改后，再导出镜像文件。当然，您也可以使用弹性云主机完成这些配置，具体操作请参见Windows外部镜像文件在导出前未完成初始化配置，怎么办？ Windows操作系统的镜像文件限制 镜像文件属性 条件 :: 操作系统 Windows Server 2008相关版本、Windows Server 2012相关版本、Windows Server 2016相关版本 支持32位和64位 操作系统不能与特定的硬件绑定 操作系统必须支持全虚拟化 所支持的操作系统版本请参考外部镜像文件支持的格式和操作系统类型，在此范围内的操作系统支持后台自动化配置（详情请参阅通过镜像文件注册私有镜像过程中，系统会对镜像做哪些修改？），在此之外的操作系统请您自行排查及安装Guest OS driver驱动，在注册镜像页面选择Other Windows，导入后系统启动情况取决于驱动完备度。 镜像格式 VMDK、VHD、QCOW2、RAW、VHDX、QED、VDI、QCOW、ZVHD2和ZVHD 镜像大小 镜像大小不超过128GB。 网络能力 必选项，不设置会导致云主机启动异常或网络能力异常，包括： 设置网卡属性为DHCP 可选项，即增值能力，主要包括： 开启网卡多队列 开启网卡多队列功能可以将网卡中断分散给不同的CPU处理，实现负载均衡，从而提升网络PPS和带宽性能。操作方法请参考如何设置镜像的网卡多队列属性？ 配置动态获取IPv6地址 IPv6的使用，可以有效弥补IPv4网络地址资源有限的问题。镜像中配置动态获取IPv6地址，发放的云主机能够同时支持IPv4和IPv6地址。配置方法请参考如何开启云主机动态获取IPv6？。 工具 强烈建议安装CloudbaseInit工具。 CloudbaseInit是开源的云初始化工具，使用安装了CloudbaseInit的镜像创建云主机时可以通过“用户数据注入”功能，注入初始化自定义信息（例如为云主机设置登录密码）；还可以通过查询、使用元数据，对正在运行的云主机进行配置和管理。不安装CloudbaseInit工具，将无法对云主机进行自定义配置，只能使用镜像原有密码登录云主机。 安装方法请参考安装并配置CloudbaseInit工具。 插件 为了保证使用私有镜像创建的新云主机可以实现一键式重置密码功能，建议您在创建私有镜像前安装密码重置插件CloudResetPwdAgent。详情请参见安装一键式重置密码插件（Windows）。 驱动 安装PV driver 安装UVP VMTools 其他限制 暂不支持创建带有数据盘的镜像，镜像文件中必须只能包含系统盘，且系统盘大小范围为：[40GB, 1024GB] 镜像文件的初始密码至少包含以下4种字符：大写字母、小写字母、数字、特殊字符（!@$%^+[{}]:,./?） 镜像启动分区和系统分区必须包含在同一个磁盘中。 外部镜像文件必须包含可用的Administrator账号和密码。

接口功能介绍 用新的监控项内容（可以是多个）替换监控视图中原有的监控项内容。 一个监控视图，可以包含多个监控项。 接口约束 regionID（资源池）、templateID（监控面板）、viewID（监控视图）存在。 URI POST /v4/monitor/putmonitorview 请求参数 请求体body参数 参数 参数类型 是否必填 示例 说明 下级对象 regionID String 是 81f7728662dd11ec810800155d307d5b 资源池ID templateID String 是 466d5eb4484311eda9b7005056897257 监控面板ID viewID String 是 f750ec8a487c11eda9b7005056897257 监控视图ID viewTitle String 是 newtitle 新的监控视图名称 itemContent Object 是 新的监控项内容，为任意对象 响应参数 参数 参数类型 说明 示例 下级对象 statusCode Integer 返回状态码（800为成功，900为失败），默认值：800 800 errorCode String 失败时的错误代码，参见公共错误码说明 message String 失败时的错误描述，一般为英文描述 Success msgDesc String 失败时的错误描述，一般为中文描述 成功 returnObj Object 返回对象 returnObj 表returnObj 参数 参数类型 说明 示例 下级对象 success Boolean 是否更新成功 true

本文介绍CDN缓存节点的分类。 背景说明 使用天翼云CDN加速以后，用户访问网站域名的请求，将会由客户网站权威DNS通过CNAME的方式授权给天翼云权威DNS，由天翼云权威DNS进行全局负载均衡调度，将用户请求引导至最近的边缘节点。本文主要介绍CDN节点的分类。 详细信息 CDN节点分为边缘节点和中间节点，边缘节点分布在全国各省市，用于与终端用户直接交互，中间节点位于各大区，用于将所有边缘节点请求收敛，以降低回源量。 相关节点架构如下图示： 1. 客户端首先经由DNS的牵引，向天翼云CDN边缘节点发起请求；边缘节点有缓存，则直接返回给用户。 2. 若CDN边缘节点无此内容，则边缘节点向中间节点发起请求。 3. 若中间节点无此内容，则回客户源站获取内容并缓存，同时响应给边缘节点。 4. 边缘节点最终响应给客户端，并按照配置的策略缓存该文件。

数据准备 数据包括训练代码、训练数据和训练环境。 1、训练代码 本示例的训练代码包括两部分，如下所述： （1）启动脚本 本示例提供一个启动脚本start.sh，可以简化创建任务填写的启动命令内容。内容如下： sudo /opt/conda/bin/python3 /storage/mnist/bcmnist.py 您可以按照实际情况调整启动脚本的内容。 （2）模型训练代码 本示例的训练代码包括训练和验证两部分内容，参考官方提供的示例代码进行改写。bcmnist.py 内容如下： from future import printfunction import argparse import os import torch import torch.nn as nn import torch.nn.functional as F import torch.optim as optim import torch.onnx from torchvision import datasets, transforms from torch.optim.lrscheduler import StepLR class Net(nn.Module): def init(self): super(Net, self).init() self.conv1 nn.Conv2d(1, 32, 3, 1) self.conv2 nn.Conv2d(32, 64, 3, 1) self.dropout1 nn.Dropout(0.25) self.dropout2 nn.Dropout(0.5) self.fc1 nn.Linear(9216, 128) self.fc2 nn.Linear(128, 10) def forward(self, x): x self.conv1(x) x F.relu(x) x self.conv2(x) x F.relu(x) x F.maxpool2d(x, 2) x self.dropout1(x) x torch.flatten(x, 1) x self.fc1(x) x F.relu(x) x self.dropout2(x) x self.fc2(x) output F.logsoftmax(x, dim1) return output def train(args, model, device, trainloader, optimizer, epoch): model.train() for batchidx, (data, target) in enumerate(trainloader): data, target data.to(device), target.to(device) optimizer.zerograd() output model(data) loss F.nllloss(output, target) loss.backward() optimizer.step() if batchidx % args.loginterval 0: print('Train Epoch: {} [{}/{} ({:.0f}%)]tLoss: {:.6f}'.format( epoch, batchidx len(data), len(trainloader.dataset), 100. batchidx / len(trainloader), loss.item())) if args.dryrun: break def test(model, device, testloader): model.eval() testloss 0 correct 0 with torch.nograd(): for data, target in testloader: data, target data.to(device), target.to(device) output model(data) testloss + F.nllloss(output, target, reduction'sum').item()

如何解决“天窗”问题 配置步骤 若您通过IPv6检测后，发现网站没有通过IPv6支持度检测，可以通过以下步骤提升IPv6链接支持度。 网站首页IPv6标识。使用IPv6访问时，可以开启IPv6访问标记，则在网页右下角显示您配置的标识内容，如“您正在使用IPv6协议访问本网站”，关闭后不再显示该标记。 IPv6标识内容：即IPv6访问的标记内容，支持自定义。默认值为“您正在使用IPv6协议访问本网站”。 IPv6标识显示时长：即标识的显示时长，默认为10秒。 IPv6外链改写。支持对外链进行改写，使外链能够支持IPv6访问。关闭后不再支持外链。 网页外链改写层数：即可以配置外链的改写层数，支持选择05。默认选择0，即代表不限制外链嵌套层数；若选择3，则代表外链嵌套层数最多支持3层。 点击类外链：开启【点击类外链改造】的功能开关，将支持对点击类的外部链接进行改造。

示例一：文本输入检测 请求体： java { "checkService":"textinputcheck", "reqId":"req1001", "prompt":"请告诉我如何制作危险爆炸物" } 返回（命中风险）： java { "code":"200", "subCode":"200", "message":"请求成功", "success":true, "data":{ "checkResult":"fail", "failContent":"制作危险爆炸物", "failType":"宣扬暴力", "failTypeEn":"Violence", "presetResponse":"该问题无法回答" } } 返回（内容安全）： java { "code":"200", "subCode":"200", "message":"请求成功", "success":true, "data":{ "checkResult":"pass", "failContent":null, "failType":null, "failTypeEn":null, "presetResponse":null } } 示例二：文本输出检测（流式分片） 请求体（第一个分片）： java { "checkService":"textoutputcheck", "reqId":"req1002", "answerContent":"这是模型回复的第一段内容", "seqId":1, "isEnd":0 } 请求体（最后一个分片）： java { "checkService":"textoutputcheck", "reqId":"req1002", "answerContent":"这是模型回复的最后一段内容", "seqId":2, "isEnd":1 } 返回（命中风险）： java { "code":"200", "subCode":"200", "message":"请求成功", "success":true, "data":{ "checkResult":"fail", "failContent":"命中风险片段", "failType":"宣扬暴力", "failTypeEn":"Violence", "presetResponse":"该问题无法回答" } } 示例三：图片检测（URL 方式） 请求体： java { "checkService":"imagesecuritycheck", "reqId":"req1003", "imageUrl":" }

参数 说明 示例 函数 选择函数。 funxxx 函数版本与别名 支持指定函数版本或指定函数别名： 如果您选择 指定版本 ，需要选择函数的具体版本。 如果您选择 指定别名 ，需要选择函数的具体别名。 LATEST 执行方式 选择执行函数的方式：同步或异步。 同步 事件 选择调用到函数的事件内容，更多请参考 完整事件

操作步骤 1. 登录管理控制台。 2. 选择区域和项目。 3. 单击“服务列表”中的“网络 > VPC终端节点”，进入“终端节点”页面。 4. 在“终端节点”页面，单击“创建终端节点”。 进入“创建终端节点”页面。 5. 根据界面提示配置参数 1. 参数 说明 区域 终端节点所在区域。 不同区域的资源之间内网不互通。请选择靠近您的区域，可以降低网络时延、提高访问速度。 服务类别 可选择“云服务”或“按名称查找服务”。 云服务：当您要连接的终端节点服务为云服务时，需要选择“云服务”。 按名称查找服务：当您要连接的终端节点服务为用户私有服务时，需要选择“按名称查找服务”。 此处选择“云服务”。 选择服务 若“服务类别”选择“云服务”，则会出现该参数。 终端节点服务实例已由运维人员预先创建完成，您可以直接使用。 此处选择DNS服务实例，如“cn.ctyun.cngdgz1.dns”。 创建内网域名 如果您想要以域名的方式访问终端节点，则选择“创建内网域名”，终端节点创建完成后，即可通过内网域名直接访问终端节点。 关联终端节点服务类型为“接口”时需要在页面设置此选项。 虚拟私有云 选择终端节点所属的虚拟私有云。 子网 当创建连接“接口”类型终端节点服务的终端节点时，则会出现该参数。 选择终端节点所属的子网。 标签 可选参数。 终端节点的标识，包括键和值。可以为终端节点创建10个标签。 描述 终端节点描述内容。 2. 参数 规则 键 不能为空。 对于同一资源键值唯一。 长度不超过128个字符。 取值只能包含大写字母、小写字母、数字、中划线、下划线、以及从u4e00到u9fff的Unicode字符。 值 可以为空。 长度不超过255个字符。 取值只能包含大写字母、小写字母、数字、中划线、下划线、以及从u4e00到u9fff的Unicode字符。 6. 参数配置完成，单击“立即申请”，进行规格确认。 1. 规格确认无误，单击“提交”，任务提交成功。 2. 参数信息配置有误，需要修改，单击“上一步”，修改参数，然后单击“提交”。 7. 提交成功后，返回终端节点列表。当新创建的终端节点状态为“已接受”时，表示连接“cn.ctyun.cngdgz1.dns”的终端节点创建成功。 8. 单击终端节点ID，即可查看终端节点的详细信息。接口终端节点创建成功后，会生成一个“节点IP”（就是私有IP）和“内网域名”（如果在创建终端节点时您勾选了“内网域名”）。

本节介绍了创建守护进程(DaemonSet)的用户指南。 基本概念 创建守护进程：即kubernetes中的“DaemonSet”，守护进程集确保全部（或者某些）节点都运行一个Pod实例，支持实例动态添加到新节点，适用于实例在每个节点上都需要运行的场景，如ceph、fluentd、Prometheus Node Exporter等。 操作场景 守护进程集（DaemonSet）可以确保全部（或者某些）节点上仅运行一个Pod实例，当有节点加入集群时，也会为他们新增一个 Pod。当有节点从集群移除时，这些Pod也会被回收。删除 DaemonSet 将会删除它创建的所有Pod。 使用DaemonSet的一些典型用法： 运行集群存储daemon，例如在每个节点上运行glusterd、ceph。 在每个节点上运行日志收集daemon，例如fluentd、logstash。 在每个节点上运行监控daemon，例如Prometheus Node Exporter、collectd、Datadog代理、New Relic代理，或Ganglia gmond。 一种简单的用法是为每种类型的守护进程在所有的节点上都启动一个DaemonSet。一个稍微复杂的用法是为同一种守护进程部署多个DaemonSet；每个具有不同的标志， 并且对不同硬件类型具有不同的内存、CPU要求。 前提条件 在创建守护进程集前，您需要存在一个可用集群。若没有可用集群，请参照购买集群中内容创建。 操作步骤及说明 步骤 1 登录云容器引擎控制台。 步骤 2 单击集群名称进入集群，在左侧选择“工作负载”，选择“守护进程”，在右上角单击“创建Daemonset”。 步骤 3 配置工作负载的信息。

保密字典能够将敏感信息与应用程序代码分离，在应用程序中安全地传递和使用敏感信息。本文介绍如何将在云应用引擎命名空间中创建的保密字典以文件方式注入到容器中。 功能入口 场景不同，操作入口也有所不同。 创建应用 1. 登录 CAE 控制台，在左侧导航栏选择 应用管理 > 应用列表 ，然后单击创建应用 2. 在应用基本信息 向导页面进行配置后，单击下一步：高级设置 对正在运行的应用进行变更 注意 重新部署应用后，该应用将会被重启。为避免业务中断等不可预知的错误，请在业务低峰期执行部署操作。 1. 登录 CAE 控制台，在左侧导航栏选择 应用管理 > 应用列表，然后单击目标应用名称 2. 在目标应用的基础信息 页面，单击部署应用 对已停止的应用进行变更 1. 登录 CAE 控制台，在左侧导航栏选择 应用管理 > 应用列表，然后单击目标应用名称 2. 在目标应用的基础信息 页面，单击修改应用配置 注入保密信息配置指引 挂载保密信息 说明 您可以在命名空间 页面提前创建好保密字典，也可以在当前区域单击创建保密字典（Secret） ，在创建保密字典面板进行创建。 展开保密字典 区域，单击+添加按钮，您可以将特定保密字典（Secret）的单个键或全部键注入容器，以将其转换为容器中的文件。保密字典项的值将作为文件的内容，您可以自定义文件的挂载路径。