参数 是否必填 参数类型 说明 示例 下级对象 instanceId 是 String 实例ID 58c5689018334b30a08ff9a3f8d5f314 autoPay 是 String 预付费下单自动支付 true engineType 是 String 引擎类型 nacos、zookeeper cycleType 是 String 订购周期类型，3表示按月订购，cycleCnt属性为1表示订购1个月；101表示按需订购，此时cycleCnt不需要赋值 3 cycleCnt 是 String 订购周期，取值范围：值需大于零，不超过60个月 12 autoRenewStatus 否 String 仅包周期有效 是否自动续订 true autoRenewCycleType 是 String 3按月，autoRenewStatus为true时需要传 3 autoRenewCycleCount 是 String 周期数，autoRenewStatus为true时需要传 1 resSize 是 Integer 集群数量resSize，3,5,7,9 3 cpuNum 是 Integer CPU核数 4 memSize 是 Integer 内存8G 8 securityGroupUuid 是 String 安全组ID,对应vpc列表接口返回的foreigngroupid 59893 vpcUuid 是 String VPCID对应vpc列表接口返回的networkId 60144 subnetUuid 是 String 子网ID对应子网列表接口返回的subNetworkId 25024 azInfo 是 Array of Objects 可用区信息 azInfo

网站扫描查看漏洞修复建议的方法。 1. 登录管理控制台。 2. 在左侧导航树中，单击，选择“安全 > 漏洞扫描（专业版）”，进入漏洞扫描服务页面。 3. 在“资产列表 > 网站”页签，进入网站列表入口。 4. 查看网站资产列表，相关参数说明如下表所示。 参数 参数说明 域名信息 域名/IP地址 域名别称 认证状态 “已认证” ：目标域名已完成域名认证。 “未认证” ：目标域名未完成域名认证。单击“去认证”进行域名认证。 上次扫描时间 域名最近一次扫描任务的时间。 上一次扫描结果 域名最近一次扫描结果信息，包括得分和各等级的漏洞数量。单击得分或者“查看详情”，进入“扫描详情”界面查看扫描概况。 5. 在目标域名所在行的“上一次扫描结果”列，单击分数或者“查看详情”，查看扫描任务详情。 6. 选择“漏洞列表”页签，查看漏洞信息。 7. 单击漏洞名称，查看相应漏洞的“漏洞详情”、“漏洞简介”、“修复建议”，用户可以根据修复建议修复漏洞。

本节介绍如何添加WAF防护策略。 前提条件 已添加防护网站。 约束条件 一个防护域名只能绑定一个防护策略。 操作步骤 步骤1 登录管理控制台。 步骤2 单击管理控制台右上角的，选择区域或项目。 步骤3 单击页面左上方的，选择“安全 > Web应用防火墙（独享版）”。 步骤4 在左侧导航树中，选择“防护策略”，进入“防护策略”页面。 步骤5 在列表的左上角，单击“添加防护策略”。 步骤6 在弹出的对话框中，输入策略名称，单击“确定”。 步骤7 在目标策略所在行，单击策略名称，进入防护规则配置页面。 相关操作 若想修改策略名称，单击目标策略名称后的编辑按钮，在弹出的对话框中，重新输入新的策略名称即可。 若想删除添加的防护策略，在目标策略所在行的“操作”列，单击“删除”。 如果您想批量删除防护策略，勾选需要删除的策略，单击策略列表上方的“批量删除”。

此小节介绍删除防护域名，您可以通过Web应用防火墙服务对不再防护的网站执行删除操作。 前提条件 已添加防护域名。 系统影响 删除网站后，1分钟内生效，且不可恢复，请谨慎删除防护网站。 操作步骤 步骤1 登录管理控制台。 步骤2 单击管理控制台右上角的，选择区域或项目。 步骤3 单击页面左上方的，选择“安全 > Web应用防火墙（独享版）”。 步骤4 在左侧导航树中，选择“网站设置”，进入“网站设置”页面。 步骤5 在目标防护域名所在行的“操作”列中，单击“删除”，进入删除防护域名对话框界面。 步骤6 在删除防护网站对话框中，确认删除防护网站。如果需要保留该域名绑定的防护策略，可以勾选“保留该域名的防护策略”。 步骤7 单击“确定”，页面右上角弹出“删除成功”，则说明删除操作成功。

图片上传到OOS后，可以通过以下两种方式生成url访问，但是图片会以附件形式下载到本地： 将Bucket设置为公共读，然后按照模板访问，模板：BucketName.ooscn.ctyunapi.cn/ObjectName，或者ooscn.ctyunapi.cn/BucketName/ObjectName。 通过生成共享链接： 使用SDK中的generatePresignedUrl(GeneratePresignedUrlRequest)方法，生成共享链接 URL。 使用控制台“存储桶列表”>“文件列表”页文件分享功能生成共享链接。 基于安全合规要求， OOS禁止通过OOS的默认域名（存储桶访问地址或存储桶自定义域名）在线预览图片、网页等类型的文件，而是以附件形式下载。如果想通过url直接访问预览，需要通过静态网托管功能实现，即将已备案自定义域名和存储桶进行绑定，然后通过访问自定义域名实现在线预览。为Bucket绑定自定义域名请先联系天翼云客服申请，然后可以通过以下方法配置静态网站托管功能： 通过控制台进行配置，详见网站。 通过API进行配置，详见PUT Bucket Website。

参数 配置说明 目录和文件 支持选择要备份的目录和文件及不要备份的目录和文件。 注意：选择文件备份目录时，需选择非结构化数据（如视频、图片、附件、日志等）文件产生的数据路径。若选择"/"或包含系统文件的系统整盘、系统盘整个分区（如C盘），任务状态会变为停止。如需有系统盘整盘、整个分区的备份需求可选择整机备份方式实现。 镜像设置 校验方式：启用增量备份或差异备份时，当前备份数据与上次备份数据差异比对方式。 错误处理方式 如果源路径包含系统目录和文件，drnode程序可能无法访问某些特定的系统文件。对于这种情况，给出两种解决办法。此选项默认为“遇到错误，立即停止”。 文件打开方式 在镜像阶段，源端打开文件的方式，该选项只适用于Windows平台的工作机。在增量复制阶段，drnode程序不会读取文件内容。 文件安全属性 用户选择是否同步备份文件权限、用户属性等。此选项默认为同步。

本章主要介绍API认证鉴权常见问题。 是否支持HTTPS的双向认证？ 专享版：支持，在创建API时，可配置双向认证。 “无认证”方式的API该怎么鉴权与调用？ “无认证”即API网关对收到的调用请求不做身份认证，您只需要按照API提供者提供的接口说明，封装规范的HTTP请求，发送给API网关即可。 说明 无认证方式下，API网关把请求内容透传给后端服务。因此，如果您希望在API后端服务进行鉴权，可以使用“无认证”方式，API调用方传递鉴权所需字段给后端服务，由后端服务进行鉴权。 TLS加密协议支持什么版本？ API网关支持TLS 1.1及TLS 1.2版本，暂不支持TLS 1.0或TLS 1.3。 安全认证签名的内容是否包括Body体 包括。除了几个必选的请求头部参数，Body体也是签名要素之一。例如有一个使用POST方法上传文件的API，那么在签名过程中，会取这个文件的hash值，参与生成签名信息。

本文介绍HBlock、CSI插件和Cinder驱动插件的生命周期策略。 通过HBlock、CSI插件和Cinder驱动插件的产品生命周期支持策略，您可以了解各生命周期阶段的服务变化，以便合理规划产品使用与续保服务，有序实施版本更新或升级，最大限度保证数据安全及业务连续性。 定义 阶段 服务支持 全面支持阶段（General Availability，GA） 产品发布，进入全面支持阶段，针对该阶段发现的软件缺陷和安全漏洞提供修复版本，维护产品更新和升级。 终止支持阶段（End of Support Life，EOSL） 停止该版本产品所有支持，请尽快升级到提供支持的产品版本。 HBlock各版本生命周期 版本 全面支持阶段 终止支持阶段 4.0 2026年03月24日 2028年09月24日 3.10 2025年09月25日 2028年03月25日 3.9 2025年04月21日 2027年10月21日 3.8 2025年02月14日 2027年08月14日 3.7 2024年08月08日 2027年02月08日 3.6 2024年06月03日 2026年12月03日 3.5 2024年03月04日 2026年09月04日 3.4 2023年07月12日 2026年01月12日 3.3 2022年12月23日 2025年06月23日 3.2 2022年09月26日 2025年03月26日 3.1 2022年06月14日 2024年12月14日 3.0 2022年01月18日 2024年07月18日 2.1 2021年08月27日 2024年02月27日 2.0 2021年05月28日 2023年11月28日

本节为您介绍服务器迁移服务的功能特性。 数据"0"丢失 在数据传输过程中，服务器迁移服务通过数据校验确保数据的一致性，保障数据在迁移过程中不发生丢失。同时，通过数据稽核功能，用户可以准确检验两端数据的异同，实现真正意义上的数据"0"丢失。 增量同步 配置迁移任务时可以选择启用增量，启用增量后会在全量迁移完成后进入持续的增量状态，持续性地将源机的文件变动增量同步到目标机，直到用户按照计划割接时间停止业务后手动点击“停止增量”结束增量同步。 传输控制进程分离 服务器迁移服务将控制流量与监控流量区分，有效避免数据传输过程中网络中断导致任务失败的情况。监控流量将源机和目标机的监控数据通过单独传输上报至平台，让用户可以查看传输进度、使用率以及迁移状态。 批量绑定 服务器迁移服务支持通过Excel模板批量导入源机和目标机的对应关系，避免重复操作，减少用户手动配置的工作量，提高操作的便捷性。 自定义分区 用户可以在服务器迁移服务上对目标机进行灵活的扩缩容分区操作。根据当前的资源使用情况，可以自由调整资源，提高资源利用率。 断点续传 服务器迁移服务支持断网续传和重启续传功能，有效避免用户因网络波动或误操作Agent等情况导致的任务中断，保障任务的稳定性。 代理迁移 服务器迁移服务提供代理迁移功能，通过代理对网闸隔离后的内网进行跳转转发，无需直接打通内网与互联网，从而保障了迁移过程的安全性，满足相关安全需求。

1. 引言 服务网格接入虚机是为了让传统应用在不改造架构的前提下，也能获得服务网格的治理能力，例如统一的服务发现、流量控制、故障治理与安全通信，从而支撑平滑上云和系统演进。 2. 架构 3. 准备工作 3.1 创建网格实例 确保在控制面中已创建好可用的 服务网格实例，并确认网格状态为 Running。 后续步骤中的虚拟机将加入此网格实例以实现统一流量管理与安全控制。 注意 确保目标虚拟机和网格实例之间网络互通。 3.2. 创建接入网格的虚拟机 准备一台或多台计划纳入网格的虚拟机； 说明 权限要求：具备 root 或具有 sudo 权限的用户； 网络要求：可以访问到 容器集群 API Server 的地址； 3.3 上传 istioctl 与 kubectl 工具 下载并将以下二进制文件上传至虚拟机（例如存放于 /usr/local/bin）： istioctl kubectl 执行以下命令添加到系统环境变量： plaintext export PATH$PATH:/usr/local/bin 验证： plaintext kubectl version client istioctl version 3.4 配置 kubeconfig 文件 将容器集群的 kubeconfig 文件拷贝至虚拟机，使 kubectl 可正常访问主集群。 文件路径： ～/.kube/config 验证连接是否成功 kubectl get ns 若能列出命名空间列表，说明连接正常。 3.5 创建istioproxy用户 在虚拟机中创建 istioproxy 用户及用户组，用于运行 Sidecar 代理进程。 sudo useradd r M s /sbin/nologin istioproxy r 表示创建系统用户； M 不创建 home 目录； s /sbin/nologin 表示该用户不可直接登录； Sidecar 启动将以该用户身份运行。

区别项 云硬盘快照 云硬盘备份 存储位置 快照与云硬盘原始数据保存在同一套云存储集群中。 备份与云硬盘原始数据没有存储在同一套云存储集群中，以备份文件的形式存储在对象存储中，即使云硬盘损坏，也可以进行数据恢复。 数据同步 保存云硬盘指定时刻的数据。 可以设置自动快照策略。 如果将创建快照的云硬盘删除，那么对应的快照也会被同时删除或需用户手动删除。 重装操作系统或切换操作系统后，系统盘快照和数据盘快照不会被删除，其中数据盘快照可以照常使用。 系统盘保留单盘快照会导致主机重装/切换系统失败，建议主机重装/切换系统操作前先手动删除快照。 保存云硬盘指定时刻的数据，可以设置自动备份。 如果将创建备份的云硬盘删除，对应的备份不会被同时删除，还会独立存储于对象存储。 业务恢复 通过快照回滚来恢复云硬盘数据，或者以快照作为数据源来创建新的云硬盘，恢复业务。 用户可以恢复备份数据到云硬盘，或者以备份作为数据源来创建新的云硬盘，恢复业务。 使用场景 针对软硬件升级、系统变更等计划内操作场景，在执行升级/变更前可即时为数据创建快照，作为操作前的安全保护点，如升级异常、测试失败或变更出错，可通过快照快速回滚数据至变更前的精确状态，确保操作的安全性和可靠性。 针对误删、病毒感染、软硬件故障等突发风险场景，通过周期性定时备份为数据创建多个历史时间点的副本，出现故障时可将数据恢复到任意备份时间点的状态。

第4章 服务范围 远程运维服务产品范围：天翼专有云、天翼公有云、天翼混合云的云产品，详见《服务协议》。 天翼云远程运维服务范围包含： 天翼云产品使用咨询、日常巡检、问题处理、故障处理、操作指导、最佳实践等。 天翼云产品相关操作的技术支持。 天翼云管理控制台相关的问题支持。 天翼云远程运维服务范围不包含： 应用的开发和运维，包括但不限于应用开发、部署、测试、问题诊断等。 IDC和硬件设备维护，包括网络设备、服务器、存储等硬件巡检、更换、诊断等（天翼云提供的除外）。 第三方软件问题，包括但不限于OFFICE、WPS办公软件等。 第5章 前提条件 客户需提前至少20个工作日申请远程运维服务，天翼云解决方案架构师评估需求可行性，确定是否提供远程运维服务。 运维专家现场服务2天起售，需提前15个工作日申请，现场服务只在远程运维服务的服务期内提供，运维专家现场服务工作时间为工作日9:00~18:00。 若已购买运维专家现场服务，客户须提供安全的办公环境，并保障天翼云驻场人员的人身安全。 运维专家现场服务，客户需签署运维进场和离场报告或签到表。 客户需在天翼云承接远程运维服务后，提供必要的访问通道、权限、授权、协助配合天翼云开展远程运维服务。 客户需审核天翼云制定的远程运维服务计划和服务方案，以书面形式（包括但不限于电子邮件）确认。如无正当技术理由，不能否定双方已确认的服务计划和服务方案。 客户需授权天翼云对云上资源和应用进行监控和分析。

本文介绍了使用天翼云防火墙（原生版）的使用流程和步骤说明。 一款云原生的云上边界网络安全防护产品，可提供统一的互联网边界、内网VPC边界管控与安全防护，并提供实时入侵防护、全流量业务可视化、日志审计和分析等功能，帮助用户完成网络边界防护与等保合规业务。 使用流程 使用流程如下图： 互联网边界防护 操作步骤 说明 相关文档 购买云防火墙（原生版） 成功注册天翼云账号后，打开控制中心，切换资源池至目标资源池，选择云防火墙（原生版）产品，点击购买配额。 购买C100实例 开启防护 打开云防火墙（原生版）控制台，选择防火墙开关，开启防护。 开启弹性IP防护 开启公网NAT网关防护 开启弹性负载均衡防护 配置防护策略 购买成功后，打开云防火墙（原生版）控制台，配置访问控制策略和防护策略。 支持配置以下防护策略： 入向/出向防护规则：按照IP地址、端口、协议、应用等维度设置防护规则进行流量管控。 黑/白名单规则：按照IP地址进行流量管控，来自黑名单内的流量会直接拦截，来自白名单内的流量会直接放行。 入侵防御：根据入侵防御规则库拦截网络攻击，支持基础防御、虚拟补丁、DDoS防护。 配置互联网边界防护规则 配置入侵防御防护规则 查看防护结果 策略配置成功后，查看防护结果日志，防火墙成功开启。 日志审计

本文为您介绍Web应用防火墙相关名词的主要含义。 CC攻击 CC攻击是针对Web服务器或应用程序的攻击，利用获取信息的标准的GET/POST请求，如请求涉及数据库操作的URI（Universal Resource Identifier）或其他消耗系统资源的URI，造成服务器资源耗尽，无法响应正常请求。 跨站请求伪造 跨站请求伪造攻击是一种常见的WEB攻击手法。攻击者通过伪造非受害者意愿的请求数据，诱导受害者访问，如果受害者浏览器保持目标站点的认证会话，则受害者在访问攻击者构造的页面或URL的同时，携带自己的认证身份向目标站点发起了攻击者伪造的请求。 扫描器 扫描器是一类自动检测本地或远程主机安全弱点的程序，它能够快速的准确的发现扫描目标存在的漏洞并提供给使用者扫描结果。 网页防篡改 网页防篡改为用户的文件提供保护功能，避免指定目录中的网页、电子文档、图片、数据库等类型的文件被黑客、病毒等非法篡改和破坏。 跨站脚本攻击 一种网站应用程序的安全漏洞攻击，攻击者将恶意代码注入到网页上，用户在浏览网页时恶意代码会被执行，从而达到恶意盗取用户信息的目的。 SQL注入 SQL注入攻击是一种常见的Web攻击方法，攻击者通过把SQL命令注入到Web后台数据库的查询字符串中，最终达到欺骗服务器执行恶意SQL命令的目的。例如可以从数据库获取敏感信息，或者利用数据库的特性执行添加用户、导出文件等一系列恶意操作，甚至有可能获取数据库乃至系统用户最高权限。

DRDS实例创建成功后，默认未绑定弹性IP，不能使用公网访问功能。您可以为DRDS实例绑定弹性IP，来通过公网访问数据库实例。本文为您介绍DRDS绑定公网IP的具体操作。 为节点绑定/解绑弹性IP 您可以为DRDS实例的单个节点绑定弹性IP，绑定后，即可通过该节点的弹性IP访问数据库实例。 注意 仅V5.1.9.6020.2533及以后版本的实例，支持该功能。 前提条件 已创建弹性IP。具体操作，请参见申请弹性IP。 注意事项 绑定弹性公网IP后，请在安全组中设置严格的出入规则，以加强系统安全性。 在绑定弹性IP后，请将客户端公网出口IP加入至白名单中，否则将无法通过弹性IP访问数据库。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 分布式关系型数据库 ，进入分布式关系型数据库产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择DRDS > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，找到目标实例，单击操作 列的管理， 进入实例基本信息页面。 4. 在连接信息 区域，找到目标节点，单击绑定弹性IP。 5. 在对话框中，选择弹性公网IP，单击绑定。 6. 使用弹性IP地址，连接DRDS节点。 7. 如果您不再需要使用弹性IP，单击解绑弹性IP，即可进行解绑。 为分组绑定ELB实例 您可以创建自定义分组并关联ELB实例，关联后，即可通过分组ELB实例的弹性IP来访问数据库实例。

介绍挂载点管理相关操作。 功能说明 产品控制台提供挂载点管理功能，用户可以便捷地管理文件空间的挂载点信息。 前提条件 已注册天翼云账号。 已登录媒体存储控制台。 已完成文件空间新建操作。 使用说明 目前天津资源池2区、天津资源池3区支持挂载点管理操作。其他资源池挂载点信息可以参考文件空间管理。 NFS协议 添加挂载点 1. 登录控制台，选择文件系统菜单，进入【文件系统列表】，选择对应文件系统协议类型为【 NFS 】，在文件系统列表操作栏点击【 管理 】进入页面。 2. 进入文件空间管理页面后，点击【 添加挂载点 】。 3. 填写挂载点信息和权限管理，目前一个文件空间仅支持添加一个挂载点。填写完成后点击【确定】，完成添加操作。 用户映射说明 nosquash：使用root用户访问文件系统映射为root用户。 rootsquash：以root用户身份访问时，映射nfsnobody用户，其他用户映射为对应用户。 allsquash：无论以何种用户身份访问，均映射为nfsnobody用户。 nfsnobody用户是Linux系统的默认用户，只能访问服务器上的公共内容，具有低权限，高安全性的特点，选择rootsquash与allsquash可减少root用户或其他用户误操作带来的问题。若安全需求较低，为减少出现无读写权限的问题，建议配置 nosquash。 管理挂载点 1. 在管理页面可查看挂载点名称、挂载点信息、状态、创建时间等信息，包括对挂载点【管理权限组】、【禁用】操作。 2. 点击【禁用】，确认对该挂载点禁用后，用户将无法使用该NFS文件资源。 SMB协议

本章主要介绍开启跨域访问。 什么是跨域访问 浏览器出于安全性考虑，会限制从页面脚本内发起的跨域访问（CORS）请求，此时页面只能访问同源的资源，而CORS允许浏览器向跨域服务器，发送XMLHttpRequest请求，从而实现跨域访问。 图 跨域访问 浏览器将CORS请求分为两类： 简单请求 简单跨域请求的场景需要满足以下两个条件： a. 请求方法是HEAD，GET，或者POST。 b. HTTP的头信息不超出以下范围： Accept AcceptLanguage ContentLanguage LastEventID ContentType：取值范围：application/xwwwformurlencoded、multipart/formdata、text/plain 对于简单请求，浏览器自动在头信息之中，添加一个Origin字段，Origin字段用于说明本次请求来自哪个源（协议+域名+端口）。服务器根据这个值，决定是否同意这次请求。服务器响应消息中包含“AccessControlAllowOrigin”时，表示同意请求。 非简单请求 不满足简单请求两个条件的都为非简单请求。 对于非简单请求，在正式通信之前，浏览器会增加一次HTTP查询请求，称为预检请求。浏览器询问服务器，当前页面所在的源是否在服务器的许可名单之中，以及可以使用哪些HTTP请求方法和头信息字段。预检通过后，浏览器向服务器发送简单请求。 开启跨域访问 API网关默认不开启跨域访问，如果您需要开启，请参考以下说明完成跨域配置。如需自定义跨域的请求头、跨域的请求方法和指定授权访问的域，请使用跨域资源共享策略说明。 简单跨域访问 如果是创建新的API，在“安全配置”时，勾选“开启支持跨域（CORS）”开关。详细的使用指导，可参考[简单请求](

本章主要介绍产品定义。 软件开发生产线（CodeArts）是面向开发者提供的一站式云端DevSecOps平台，即开即用，随时随地在云端交付软件全生命周期，覆盖需求下发、代码提交、代码检查、代码编译、验证、部署、发布，打通软件交付的完整路径，提供软件研发流程的端到端支持。 产品构成 软件开发生产线由以下几个主要服务构成： 需求管理：为研发团队提供简单高效的团队协作服务，内置多种开箱即用的场景化需求模型和对象类型（需求/缺陷/任务等），可支撑DevOps、精益看板等多种研发模式，还包含跨项目协同、基线与变更管理、自定义报表、Wiki在线协作、文档管理等功能。 代码托管：面向软件开发者的基于Git的在线代码托管服务，是具备安全管控、成员/权限管理、分支保护/合并、在线编辑、统计服务等功能的云端代码仓库，旨在解决软件开发者在跨地域协同、多分支并发、代码版本管理、安全性等方面的问题。 流水线：提供可视化、可定制的自动交付流水线，帮助企业缩短交付周期，提升交付效率。 代码检查：基于云端实现代码质量管理，软件开发者可在编码完成后执行多语言的代码静态检查和安全检查，获取全面的质量报告，并提供缺陷的分组查看与改进建议，有效管控代码质量，帮助产品成功。 编译构建：为开发者提供配置简单的混合语言构建平台，实现编译构建云端化，支撑企业实现持续交付，缩短交付周期，提升交付效率。支持编译构建任务一键创建、配置和执行，实现获取代码、构建、打包等活动自动化，实时监控构建状态，让您更加快速、高效地进行云端编译构建。 部署：提供可视化、一键式部署服务，支持部署到虚拟机或者容器，提供Tomcat、SpringBoot等模板或者自由组装编排原子步骤进行部署，支持并行部署和流水线无缝集成，实现部署环境标准化和部署过程自动化。 测试计划：面向软件开发者提供一站式云端测试平台，覆盖功能测试、接口测试，融入DevOps敏捷测试理念，帮助您高效管理测试活动，保障产品高质量交付。 制品仓库：为软件开发团队提供管理软件发布过程的能力，保障软件发布过程的规范化、可视化及可追溯。 图 产品构成

本节先简要介绍了Llama2模型的基本信息，接着详述了如何在GPU云主机中搭建模型运行环境。基于此，推出了预装 LLaMA27BChat大模型和模型运行环境的GPU云主机镜像，使您能够快速搭建Llama 2推理和微调环境。 什么是Llama2 Meta在7月18日发布了可以免费用于学术研究或商业用途的Llama2开源大语言模型。 ! Llama的训练方法是先进行无监督预训练，再进行有监督微调，训练奖励模型，根据人类反馈进行强化学习。 Llama 2的训练数据比Llama 1多40%，用了2万亿个tokens进行训练，并且上下文长度是Llama 1的两倍。 目前提供7B 、13B、70B三种参数量的版本。 根据Meta公布的官方数据，Llama 2在许多基准测试上都优于其他开源语言模型，包括推理、编程、对话能力和知识测试，在帮助性、安全性方面甚至比部分闭源模型要好。 Llama 2Chat在Llama 2的基础上针对聊天对话场景进行了微调和安全改进，使用 SFT (监督微调) 和 RLHF (人类反馈强化学习)进行迭代优化，以便更好的和人类偏好保持一致，提高安全性。 Llama 2Chat更专注于聊天机器人领域，主要应用于以下几个方面： 客户服务：Llama 2Chat可以用于在线客户服务，回答关于产品、服务的常见问题，并向用户提供帮助和支持。 社交娱乐：Llama 2Chat可以作为一个有趣的聊天伙伴，与用户进行随意、轻松的对话，提供笑话、谜语、故事等娱乐内容，增加用户的娱乐体验。 个人助理：Llama 2Chat可以回答一些日常生活中的问题，如天气查询、时间设置、提醒事项等，帮助用户解决简单的任务和提供一些实用的功能。 心理健康：Llama 2Chat可以作为一个简单的心理健康支持工具，可以与用户进行交流，提供情绪调节、压力缓解的建议和技巧，为用户提供安慰和支持。

接口描述：调用本接口查询指定时间内被攻击的域名以及攻击次数 请求方式：post 请求路径：/ddos/attackinfo/queryattackdomain 使用说明： 修改前，您需要先开通安全加速产品并且开通抗D功能； 查询的攻击类型为CC攻击 单个用户一分钟限制调用10000次，并发不超过100； 支持最近30天的时间 请求参数说明（json）： 参数名 类型 是否必填 名称 说明 startTime string 是 开始时间 支持最近30天的时间数据 endTime string 是 结束时间 支持最近30天的时间数据 pageSize string 否 查询每页的数量 不传默认30条；pageSize以及pageNum的乘积不得超过2000 pageNum string 否 查询的页数 不传默认第一页；pageSize以及pageNum的乘积不得超过2000 返回参数说明： 参数 类型 是否必传 名称及描述 code string 是 状态码，成功100000 message string 是 描述信息，成功返回success，其他返回异常信息描述 data attackInfoData 否 查询结果以及域名对应状态 attackInfoData参数 参数 类型 是否必返回 名称及描述 total int 是 攻击对应的类型的总数 attackDataList List 否 攻击信息列表 attackDataList参数 参数 类型 是否必返回 名称及描述 attackKey string 否 攻击对应的具体值 attackNum number 否 攻击次数

关闭HDFS鉴权 1.登录FusionInsight Manager。 2.选择“集群 > 待操作集群的名称 > 服务 > HDFS > 配置”。 3.单击“全部配置”。 4.搜索参数“dfs.namenode.acls.enabled”和“dfs.permissions.enabled”。 “dfs.namenode.acls.enabled”表示是否启用HDFS ACL，默认为“true”启用ACL，请修改为“false”。 “dfs.permissions.enabled”表示是否为HDFS启用权限检查，默认为“true”启用权限检查，请修改为“false”。修改后HDFS中的目录和文件的属主、属组以及权限信息保持不变。 5.单击“保存”，单击“确定”。 等待界面提示操作完成。 开启Yarn鉴权 1.登录FusionInsight Manager。 2.选择“集群 > 待操作集群的名称 > 服务 > Yarn > 配置”。 3.单击“全部配置”。 4.搜索参数“yarn.acl.enable”。 “yarn.acl.enable”表示是否为Yarn启用权限检查。 普通模式下默认为“false”不启用权限检查，如果要启用，请修改为“true”。 安全模式下默认为“true”，表示开启鉴权。 5.单击“保存”，单击“确定”。 等待界面提示操作完成。 关闭ZooKeeper鉴权 1.登录FusionInsight Manager。 2.选择“集群 > 待操作集群的名称 > 服务 > ZooKeeper > 配置”。 3.单击“全部配置”。 4.搜索参数“skipACL”。 “skipACL”表示是否跳过ZooKeeper权限检查，默认为“no”启用权限检查，请修改为“yes”。 5.单击“保存”，单击“确定”。 等待界面提示操作完成。

快速微调DeepSeek LLaMAFactory是一个开源项目，旨在为用户提供简便的方式来训练和部署大型语言模型（LLM）。这里，我们以蒸馏小模型DeepSeekR1DistillQwen7B模型为例，讲解如何在天翼云使用LLaMAFactory运行与微调 DeepSeek模型，读者可以根据自己实际需求选择模型和云主机配置。 步骤一：创建GPU云主机 1. 进入创建云主机页面。 a.点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 b.单击“服务列表>弹性云主机”，进入主机列表页。 c.单击“创建云主机”，进入弹性云主机创建页。 2. 进行基础配置 a.根据业务需求配置“计费模式”、“地域”、“企业项目”、“虚拟私有云”、“实例名称”、“主机名称”等。 b.选择规格。此处选择"CPU架构"为"X86"、"分类"为"GPU加速/AI加速型"、"规格族"为"GPU计算加速型pi7"、"规格"为"pi7.4xlarge.4"。 注意 本案例仅做微调流程演示，选择的机型规格仅支持7B模型的少量数据微调，如果您的数据量较大，请选择显存更高的机型规格。 c.选择镜像。“镜像类型”选择“镜像市场”，在云镜像市场中选择预置了DeepSeekR1DistillQwen7B模型的DeepSeekLlamaFactoryUbuntu22.04镜像。 3. 网络及高级配置 设置网络，包括“网卡”、“安全组”，同时配备 “弹性IP” 用于下载和访问模型；设置高级配置，包括“登录方式”、“云主机组”、“用户数据”。 注意 注意安全组需要放行22端口(用于ssh)和7860端口(用于访问web页面)。 4. 确认并支付

本文主要介绍跨区域复制简介。 跨区域复制能够为用户提供跨区域数据容灾的能力，满足用户数据复制到异地进行备份的需求。 跨区域复制是指通过创建跨区域复制规则，将一个桶（源桶）中的数据自动、异步地复制到不同区域的另外一个桶（目标桶）中，源桶和目标桶必须属于同一个帐号，暂不支持跨帐号复制。 在配置跨区域复制规则时，您可以按前缀匹配请求复制部分对象，也可以请求复制桶中的所有对象。复制到目标桶的对象是源桶中对象的精确副本。它们具有相同的对象名称和元数据，包括：对象内容、大小、最后修改时间、创建者、版本号、用户定义的元数据以及ACL。默认情况下复制对象的存储类别，与源对象保持一致。您也可以为复制对象指定一个存储类别。 复制的内容 启用跨区域复制规则后，符合以下条件的对象会复制到目标桶中： 新上传的对象（归档存储对象除外）。 有更新的对象，比如对象内容有更新，或者某一对象跨区域复制成功后源桶对象ACL设置有更新。 适用场景 客户需要在多地访问相同的OBS资源。为了最大限度缩短访问对象时的延迟，您可以使用跨区域复制，在离客户较近的区域中创建对象副本。 由于业务原因，您需要将OBS数据从一个区域的数据中心迁移至另一个区域的数据中心。 出于对数据安全性以及可用性的考虑，您希望对所有写入OBS的数据，都在另一个区域的数据中心显式地创建一个备份，以防止在数据发生不可逆损毁时，有安全、可用的备份数据。

本节主要介绍云数据库GeminiDB的产品定义。 云数据库 GeminiDB是一款基于计算存储分离架构的分布式多模NoSQL数据库服务。在云计算平台高性能、高可用、高可靠、高安全、可弹性伸缩的基础上，提供了一键部署、备份恢复、监控报警等服务能力。 云数据库 GeminiDB目前兼容InfluxDB、Redis主流的NoSQL接口，并提供高读写性能，具有高性价比，适用于IoT、气象、互联网、游戏等领域。 如何选择接口 不同接口的适用场景及功能存在差异，您可以根据业务需要选择接口产品。 表1 场景说明 接口名称 兼容接口 使用场景 说明 GeminiDB Redis接口 兼容KeyValue接口：Redis GeminiDB Redis接口满足高读写性能场景及容量需弹性扩展的业务需求。与开源Redis相比，本产品将数据全部存储在磁盘中而非内存中，容量更大、成本更低。 GeminiDB Redis 接口是一款基于计算存储分离架构，兼容Redis生态的云原生NoSQL数据库，基于共享存储池的多副本强一致机制，支持持久化存储，保证数据的安全可靠。具有高兼容、高性价比、高可靠、弹性伸缩、高可用、无损扩容等特点。 GeminiDB Influx接口 兼容时间序列型接口：InfluxDB GeminiDB Influx接口广泛应用于资源监控，业务监控分析，物联网设备实时监控，工业生产监控，生产质量评估和故障回溯等。 GeminiDB Influx 接口是一款基于计算存储分离架构，兼容InfluxDB生态的云原生NoSQL时序数据库。提供大并发的时序数据读写，压缩存储和类SQL查询，支持多维聚合计算和数据可视化分析能力。具有高写入、灵活弹性、高压缩率和高查询等特点。

本文介绍了如何配置网络层告警策略。 使用场景 业务接入DDoS高防（边缘云版）后，您可以设置告警策略，当攻击事件触发告警策略时，则产生告警记录并发送告警邮件（如配置），帮助您及时掌握业务的安全状态。 前提条件 已开通DDoS高防（边缘云版）。 说明 默认脱敏显示您的联系方式等敏感信息，点击明文显示时，请您注意保护数据安全！ 使用说明 1.登录DDoS高防（边缘云版）控制台。 2.进入【告警管理】【告警策略】页面。 新增告警策略 点击【新增】按钮，在弹框中配置策略内容，完成后点击左下角【新增】。 配置说明： 配置项 说明 告警名称 自定义告警名称 告警类型 选择网络层告警 告警条件 网络层告警支持配置： 持续XX分钟，则产生告警 攻击峰值超过XXkpps，则产生告警 攻击峰值超过XXMbps，则产生告警 支持勾选多条告警条件，当满足任一条件均会产生告警。 告警通知间隔 为避免告警策略被频繁触发，可设置告警通知间隔。当告警策略被触发后，在告警通知间隔事件内，若再次被触发，将不会产生告警记录。 勿扰时间 选填，在配置的勿扰事件范围内，将不会产生告警记录。 告警邮箱 接收告警的邮箱，支持配置多个邮箱，以分号隔开。 告警状态 是否启用该告警策略。若关闭，则告警策略不生效。 编辑告警策略 在策略列表操作栏，点击【编辑】按钮，可修改策略配置。 修改告警状态 您有两种方式可以修改告警状态： 1）点击【编辑】按钮，在编辑框中修改告警状态。 2）在策略列表，告警状态栏，直接开启或关闭告警状态。 删除规则 在策略列表操作栏，点击【删除】按钮，可删除策略配置。 注意 若告警策略的状态为开启，需先关闭后才能删除策略。

本文介绍当攻击发生且触发平台稳定性红线时的处理预案及注意事项等。 场景说明 天翼云全站加速是公共的加速服务，平台承载着成千上万的域名加速业务，是一个多客户共用的加速平台，默认不提供防攻击服务。当某个客户的域名遭受攻击（例如CC攻击），而出现带宽或QPS异常大幅上涨触发平台稳定性红线时，全站加速平台有权（根据域名业务情况、攻击影响程度等因素综合判断）将对应客户的域名切入专用隔离资源池以隔离异常业务，避免影响其他正常用户的加速服务。在攻击较严重的情况下，同账户下的其他域名也会切入隔离资源池。 域名被切入隔离资源池后，天翼云全站将不再保证服务质量，部分时段可能会出现无法服务的情况。 说明 隔离资源池是天翼云全站的一组特殊节点，这组节点与常规节点之间相互隔离，隔离资源池被用于隔离有风险的加速业务。 注意事项 因被攻击导致域名被切入隔离资源池后，用户访问带来的流量仍然会产生计费账单。 相关建议 如您的域名存在潜在被攻击风险，不希望在上述场景下被切换至隔离资源池，请切换至安全类加速产品，例如：边缘安全加速平台。 相关概念： DDoS：分布式拒绝服务攻击（Distributed Denial of Service，简称DDoS）是指攻击的发出点是分布在不同地方，且所请求的服务往往要消耗大量的系统资源，造成目标主机无法为用户提供正常服务。 CC攻击：攻击者借助代理服务器生成指向受害主机的合法请求，以实现DDoS和伪装的，称为CC(Challenge Collapsar)，CC主要是攻击页面，属于应用层攻击。

测试场景 本章节主要测试RocketMQ不同产品规格在发送1KB大小的消息，实例的网络入流量、网络出流量、消息生产速率、消息消费速率、CPU核均负载和内存使用率。 测试环境 购买实例 名称 规格 存储空间 rocketmq01 c7.xlarge.2 4C8G 超高I/O 500GB rocketmq02 c7.2xlarge.2 8C16G 超高I/O 500GB rocketmq03 c7.4xlarge.2 16C32G 超高I/O 500GB 控制台创建主题 名称 权限 关联代理 队列个数 topic01 发布+订阅 broker1 8 控制台创建消费组 名称 关联代理 最大重试次数 是否允许以广播模式消费 group01 broker1 16 否 测试工具准备 购买1台ECS服务器（区域、可用区、虚拟私有云、子网、安全组与RocketMQ实例保持一致，Linux系统），安装jdk，并配置环境变量 tar zxvf jdk8u131linuxx64.tar.gz vi /etc/profile 追加以下内容 export JAVAHOME/root/jdk1.8.0131 export PATH$JAVAHOME/bin:$PATH 生效配置 source /etc/profile 下载测试工具 wget 解压测试工具 unzip rocketmqall5.1.4binrelease.zip 测试命令

参数 参数说明 登录名 填写该账户的登录名称。 只能为数字、大小写字母、“.”和“”组成，首位只能数字或者字母，且不超过25个字符； 姓名 填写该账户的使用者的姓名。 手机号 填写手机号，请确保手机号真实有效，否则会影响短信的接收。 邮箱 （选填）填写邮箱地址，请确保邮箱地址真实有效，否则会影响告警信息的接收。 用户密码 输入该账户的密码。密码请根据管理员设置的密码规则填写，具体可参见： 确认密码 二次确认账户密码。 角色 选择该账户所属的角色，可选“管理角色”、“审计角色”和“访问角色”。 用户组 选择该账户所属的用户组，用户组相关操作请参见 认证方式 填写认证方式，可选“跟随系统”和“自定义”： 跟随系统：沿用系统认证方式的设置，并且动态更新同步。 自定义：自定义选择认证源、双因子认证。 生效时间 选择该账户可登录的时间段。 准入IP 选择可登录的IP地址。 准入MAC 填写该用户允许登录的MAC地址。

如何安装PostgreSQL客户端 PostgreSQL官网提供了针对不同操作系统的不同版本的客户端安装包，用户可以根据自己的需要选择适合自己的客户端并使用。此处以CentOS弹性云主机（ECS）为例，介绍如何在ECS上安装下PostgreSQL 12版本客户端，并访问实例数据库。 1.打开PostgreSQL官网客户端下载页面。 2.选择数据库版本、操作系统、操作系统架构，在弹性云服务器上执行以下命令安装PostgreSQL客户端。 sudo yum install y PostgreSQL官网地址/pub/repos/yum/reporpms/EL7x8664/pgdgredhatrepolatest.noarch.rpm sudo yum install y postgresql12server 3.登录连接实例。 在连接数据库之前，请确保您的ECS和RDSPostgreSQL实例在同一VPC下且配置安全组放通数据库对应端口，确保网络通畅。 在ECS上执行以下命令登录连接实例，其中username是实例的用户名、host是实例的ip、port是实例的连接端口和dbname是实例的数据库。在执行该命令后按照提示输入数据库账号的密码即可登录连接实例。 psql U username h host p port d dbname

本文将从功能简介、背景信息、前提条件、防护逻辑等方面介绍如何进行扫描防护。 功能介绍 边缘云WAF提供的扫描防护功能支持自动识别常见扫描器特征，一旦发现扫描器访问将对其进行拦截。 注意 目前控制台尚未开放扫描防护功能，如有防护需求请通过 背景信息 边缘云WAF安全团队基于对常见扫描器的特征分析，输出扫描器识别模型，能够精准识别并拦截主流扫描器包括但不限于：Sqlmap、AWVS、Nessus、Appscan、Webinspect、Netsparker、Nikto、Rsas等。 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见WAF接入 开通基础版及以上版本支持使用扫描器防护功能 扫描防护逻辑 针对扫描器防护功能，边缘云WAF支持扫描器特征识别与扫描器访问拦截两个模块。 扫描器特征识别 通过请求中的扫描器或自动化工具特征识别扫描器，形成两百余条扫描器识别规则，能够满足常见的扫描器识别需求。

操作名称 资源类型 事件名称 创建实例、恢复到新实例（Console、OPENAPI、TROVEAPI） instance createInstance 创建只读 （Console、OPENAPI、TROVEAPI） instance createReadReplicate 实例重启、扩容、规格变更、恢复到原有实例操作（Console、OPENAPI 、TROVEAPI） instance instanceAction 重置密码（Console） instance resetPassword 设置数据库版本配置参数（OPENAPI） instance setDBParameters 重置实例的数据库版本配置参数（OPENAPI） instance resetDBParameters 设置备份策略打开,关闭,修改（Console、OPENAPI） instance setBackupPolicy 修改数据库端口号（Console） instance changeInstancePort 绑定解绑EIP（Console） instance setOrResetPublicIP 修改安全组（Console） instance modifySecurityGroup 创建标签（Console、OPENAPI） instance createTag 删除标签（Console、OPENAPI） instance deleteTag 修改标签（Console、OPENAPI） instance modifyTag 删除集群下的实例（Console、OPENAPI、TROVEAPI） instance deleteInstance 创建快照（Console、OPENAPI） backup createManualSnapshot 复制快照（Console） backup copySnapshot 删除快照（Console、OPENAPI） backup deleteManualSnapshot 创建参数组（Console、TROVEAPI） config createParameterGroup 修改参数组（Console、TROVEAPI） config updateParameterGroup 删除参数组（Console、TROVEAPI） config deleteParameterGroup 复制参数组（Console） config copyParameterGroup 重置参数组（Console） config resetParameterGroup 比较参数组（Console） config compareParameterGroup 应用参数组（Console） config applyParameterGroup

vi 1. 源库增加如下内容： logbinmysqlbin serverid1 binlogformatrow 说明： （1）logbin参数的作用是MySQL 会根据这个配置自动设置logbin 为on 状态，自动设置logbinindex 文件为你指定的文件名后跟.index 打开binlog日志。 （2）在生产环境中一般都配置有serverid 值，若该项已有则不做改动，若没有按照上方提供内容添加，且需确保此值为唯一值，不可重复。 （3）仅支持binlog格式级别为row。 1. MySQL 提供一个syncbinlog 参数来控制数据库的binlog 刷到磁盘上去，还需增加如下内容： syncbinlog1 说明： （1）默认syncbinlog0，表示MySQL 不控制binlog 的刷新，由文件系统自己控制它的缓存的刷新。这时候的性能是最好的，但是风险也是最大的。 （2）若syncbinlog>0，表示每syncbinlog 次事务提交，MySQL 调用文件系统的刷新操作将缓存刷下去。最安全的是syncbinlog1，表示每次事务提交，MySQL 都会把binlog刷下去，是最安全但性能损耗最大的设置。 （3）如果是从从库上抽取数据，还需要增加以下的参数值。 logslaveupdates1 根据MySQL 官网介绍，A→B→C。A 作为从B 的master，B 作为从机C 的master。为了使这一点起作用，B 必须既是master 又是slave。必须用log bin 启动A 和B 以启用二进制日志记录，用log slave updates 选项启动B，以便B 将从A 接收的更新记录到其二进制日志中。 2. 修改完以上配置后，重启源库MySQL 服务： systemctl restart mysql 3. 进入到源库MySQL 数据库内，查询并确认binlog 是否开启： mysql> show variables like "log%"; logbin 的value 显示为ON 则表示已开启binlog。 4. 完成MySQL 源机数据库binlog 的开启。 2）源端MySQL 同步DB侧配置 创建远程连接同步用户。 为MySQL 的同步用户的用户名； 为MySQL 的同步用户对应的密码； mysql> create user ' '@'%' identified with mysqlnativepassword by ' '; 2. 赋予源库用户权限： 若授权all privileges 用户权限受阻，则可以参考下发节源MySQL 用户all privileges 权限限制。 mysql> grant all privileges on . to ' '@'%'; 3. 源库刷新权限。 mysql> flush privileges; 4. 可在本机上通过如下命令查看是否可以正常连接： 为源库MySQL 对应的IP 地址。 为源库MySQL 对应的端口号，默认为3306。