本节介绍如何创建扫描任务。 操作场景 该任务指导用户通过漏洞扫描服务创建扫描任务。 前提条件 已获取管理控制台的登录帐号与密码。 域名的“认证状态”为“已认证”。 如果您的网站设置了防火墙或其他安全策略，将导致VSS的扫描IP被当成恶意攻击者而误拦截。因此，在使用VSS前，请您将以下VSS的扫描IP添加至网站访问的白名单中：114.217.39.79，222.93.127.109 操作步骤 1. 登录管理控制台。 2. 在左侧导航树中，单击，选择“安全 > 漏洞扫描（专业版）”，进入漏洞扫描服务页面。 3. 在“资产列表 > 网站”页签，单击对应的网站信息“操作”列的“扫描”。 4. 进入创建扫描任务入口，如下图所示。 5. 在“创建任务”界面，请根据下表进行扫描设置，设置后如下图所示。 扫描设置参数说明： 参数 参数说明 任务名称 用户自定义。 目标网址 待扫描的网站地址或IP地址。 通过下拉框选择已认证通过的域名。 开始时间 可选参数，设置开始扫描的时间，不设置默认立即扫描。 扫描策略 三种扫描策略： 极速策略：扫描耗时最少，能检测到的漏洞相对较少。 标准策略：扫描耗时适中，能检测到的漏洞相对较多。 深度策略：扫描耗时最长，能检测到最深处的漏洞。 有些接口只能在登录后才能访问，建议用户配置对应接口的用户名和密码，VSS才能进行深度扫描。 说明 “极速策略”：扫描的网站URL数量有限且VSS会开启耗时较短的扫描插件进行扫描。 “深度策略”：扫描的网站URL数量不限且VSS会开启所有的扫描插件进行耗时较长的遍历扫描。 “标准策略”：扫描的网站URL数量和耗时都介于“极速策略”和“深度策略”两者之间。 是否扫描登录URL 默认不扫描登录URL，开启扫描登录URL前请先评估业务影响。 是否将本次扫描升级为专业版规格 基础版用户开启此功能后，扫描过程中会按需扣费： 鼠标移动至“?”了解升级后影响。 打开此功能时，扫描时会自动升级为专业版按需扣费，关闭该功能时，扫描时不会升级。 扫描项设置 VSS支持的扫描功能参照下表。 ：开启。 ：关闭。 扫描项设置： 扫描项名称 说明 Web常规漏洞扫描（包括XSS、SQL注入等30多种常见漏洞） 提供了常规的30多种常见漏洞的扫描，如XSS、SQL等漏洞的扫描。默认为开启状态，不支持关闭。 端口扫描 检测主机打开的所有端口。 弱密码扫描 对网站的弱密码进行扫描检测。 CVE漏洞扫描 CVE，即公共暴露漏洞库。VSS可以快速更新漏洞规则，扫描最新漏洞。 网页内容合规检测（文字） 对网站文字的合规性进行检测。 网页内容合规检测（图片） 对网站图片的合规性进行检测。 网站挂马检测 挂马：上传木马到网站上，使得网站在运行的时候执行木马程序，被黑客控制，遭受损失。VSS可以检测网站是否存在挂马。 链接健康检测（死链、暗链、恶意外链） 对网站的链接地址进行健康性检测，避免您的网站出现死链、暗链、恶意链接。 说明 如果您当前的服务版本已经为专业版，不会提示升级。 基础版支持常见漏洞检测、端口扫描，每日扫描任务上限5个，单个扫描任务时长限制2小时。 专业版支持常见漏洞检测、端口扫描、弱密码扫描，每日扫描任务上限多达60次。 高级版支持常见漏洞检测、端口扫描、弱密码扫描，每日扫描任务上限多达60次。 企业版支持常见网站漏洞扫描、基线合规检测、弱密码、端口检测、紧急漏洞扫描、周期性检测，每日扫描任务上限多达60次。 6. 设置完成后，单击“开始扫描”。 说明 如果没有设置开始扫描时间，且此时服务器没有被占用，则创建的任务可立即开始扫描，任务状态为“进行中”；否则进入等待队列中等待，任务状态为“等待中”。

本章节主要介绍数据仓库服务如何连接集群。 操作场景 您在创建好数据仓库集群，开始使用数据库服务前，需要使用数据库客户端连接到DWS 集群中的数据库。本示例将使用Data Studio客户端工具通过公网地址连接DWS集群中的数据库。您也可以使用其他SQL客户端连接集群，更多连接方式请参见 连接集群的方式。 1.获取所要连接的数据库名称、用户名和密码。 首次使用客户端连接集群时，您需使用创建集群时设置的数据库管理员用户和密码连接到默认数据库“gaussdb”。 2.获取集群公网访问地址：通过集群公网访问地址连接数据库。 3.使用Data Studio连接到集群数据库：下载配置Data Studio客户端并连接集群数据库。 获取集群公网访问地址 1.登录DWS 管理控制台。 2.在左侧导航栏中，单击“集群管理”。 3.在集群列表中，选中已创建集群（如dwsdemo），单击“集群名称”前面的向下展开按钮，获取并保存公网访问地址。 该公网访问地址将在使用Data Studio连接到集群数据库时使用。 使用Data Studio连接到集群数据库 1.DWS 提供了基于Windows平台的Data Studio图形界面客户端，该工具依赖JDK，请先在客户端主机上安装Java 1.8.0141或以上版本的JDK。 在Windows操作系统中，您可以访问JDK官方网站，下载符合操作系统版本的JDK，并根据指导进行安装。 2.登录DWS 管理控制台。 3.单击“连接管理”。 4.在“下载客户端和驱动”页面，下载“Data Studio图形界面客户端”。 请根据操作系统类型，选择“Windows x86”或“Windows x64”，再单击“下载”，可以下载与现有集群版本匹配的Data Studio工具。 如果同时拥有不同版本的集群，单击“下载”时会下载与集群最低版本相对应的Data Studio工具。如果当前没有集群，单击“下载”时将下载到低版本的Data Studio工具。DWS 集群可向下兼容低版本的Data Studio工具。 单击“历史版本”可根据集群版本下载相应版本的Data Studio工具，建议按集群版本下载配套的工具。 5.解压下载的客户端软件包（32位或64位）到需要安装的路径。 6.打开安装目录，双击Data Studio.exe，启动Data Studio客户端，如下图所示。 7.在主菜单中选择 “文件>新建连接” ，如下图所示。 8.在弹出的“新建/选择数据库连接”页面中，如下图所示，输入连接参数。 字段名称 说明 举例 数据库类型 选择“GaussDB A” GaussDB A 名称 连接名称。 dwsdemo 主机名 所要连接的集群IP地址（IPv4）或域名。 端口号 数据库端口。 8000 数据库 数据库名称。 gaussdb 用户名 所要连接数据库的用户名。 密码 所要连接数据库的登录密码。 保存密码 在下拉列表中选择： “仅当前会话”：仅在当前会话中保存密码。 “不保存”：不保存密码。 启用SSL 启用时，客户端将使用SSL加密连接方式。SSL连接方式安全性高于普通模式，建议开启。 当“启用SSL”设置为开启时，请先下载SSL证书，并解压证书文件。然后中单击“SSL”页签，设置如下参数： 配置SSL参数 字段名称 说明 客户端SSL证书 选择SSL证书解压目录下的“sslcertclient.crt”文件。 客户端SSL密钥 客户端SSL秘钥只支持PK8格式，请选择SSL证书解压目录下的“sslcertclient.key.pk8”文件。 根证书 当“SSL模式”设为“verifyca”时，必须设置根证书，请选择SSL证书解压目录下的“sslcertcacert.pem”文件。 SSL密码 客户端pk8格式SSL秘钥密码，默认密码为“Gauss@MppDB”。 SSL模式 DWS支持的SSL模式有： require verifyca DWS不支持“verifyfull”模式。 详见下图： 配置SSL参数 9.单击“确定”建立数据库连接。 如果启用了SSL，在弹出的“连接安全告警”提示对话框中单击“继续”。 登录成功后，将弹出“最近登录活动”提示框，表示Data Studio已经连接到数据库。用户即可在Data Studio界面的“SQL终端”窗口中执行SQL语句。 详见下图： 登录成功 欲详细了解Data Studio其他功能的使用方法，请按“F1”查看Data Studio用户手册。

参数 参数类型 说明 示例 下级对象 name String 名称 安全事件按威胁等级分布占比[LOW低危 MEDIUM中危 HIGH高危] 安全事件按事件类型分布占比[VIRUS病毒 WEBTAMPER网页防篡改 1进程异常行为 2恶意软件 3用户异常行为 4恶意网络连接 5其他] LOW count Integer 总数 100 percent String 占比 50.1 表 weakPwRiskInfo

本节介绍如何配置服务器安全卫士（原生版）的告警通知。 配置告警发送人 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏选择“设置中心 > 告警通知”，进入告警通知页面。 3. 单击页面右上角的“通知配置”。 4. 在弹出的对话框中，单击“添加”，添加邮箱和手机信息。 说明 首次添加的用户需要验证邮箱及手机，单击图标即可验证邮箱及手机。完成验证后才会发送信息至对应用户。 5. 验证完成后即可正常发送告警通知至相关邮箱或手机号。 配置告警发送内容 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏选择“设置中心 > 告警通知”，进入告警通知页面。 说明 服务器安全卫士告警事件存在部分发送限制，具体请您参考告警发送限制章节。 3. 告警通知配置 根据您的使用场景进行告警通知配置。 配置项 说明 告警开关 自定义开启需要通知的事件类型。 告警时间 事件发生时实时发送告警通知。 说明 可根据您业务自身需求选择以下两种发送时间： 8:0020:00 全天 通知方式 通过邮件、短信方式发送告警通知。 告警项 根据威胁等级自定义发送通知。 4. 配置完成后单击“保存配置”，界面弹出“保存告警设置成功”提示信息，则说明告警通知配置成功。

割接后注意事项 存量子用户登陆凭证重置 在割接完成后，子用户的登陆入口由原先的CDN+IAM切换至天翼云CTIAM。您无需特意记住登陆入口，在访问云点播产品控制台时，后台会根据您当前的登陆凭证自动切换主、子账号的控制台。但子用户在首次登陆时，需要由主账号在CTIAM重置子用户的登陆凭证。具体操作步骤如下： 1. 使用主账号身份访问天翼云统一身份认证服务。 2. 存量子用户会被迁移至CTIAM。您在登陆CTIAM后，可以在【用户】入口看到很多新增的子用户数据。由于CDN+IAM支持多个平行的工作区，而CTIAM无对应的映射关系，因此在CDN+IAM所有平行工作区的所有子用户都将被迁移至CTIAM。 3. 您需要在【用户】入口找到需要重置身份的子用户，点击右侧操作栏的【编辑】按钮（注意不是【重置密码】）。 4. 在弹出的【修改用户】窗体，您可以对【用户名】、【邮箱】、【手机号】进行修改完善。从CDN+IAM迁移过来的用户，邮箱会被初始化填入一个类似xxxxx@1000xxxx.vipctcdn.cn的虚拟邮箱。该虚拟邮箱是子用户在原CDN+IAM的登陆凭证。您可以修改为新的邮箱，但请注意保持全局唯一性（即该邮箱在天翼云账号体系中未被使用过，无论是作为主、子账号身份凭证。）同时，在【手机号】栏会有一个初始化的虚拟手机号码，该号码并非该子用户的真实号码，因此无法接收到来自于天翼云的各类通知短信。您可以将其修改为真实的手机号码，但请注意保持组织内唯一性（即该邮箱在当前组织内体系中未被使用过，无论是作为主、子账号身份凭证。）在完成身份凭证修改后，点击【确定】即可。 5. 【本步骤可选】在【用户】入口找到需要刚才重置身份的子用户，点击右侧操作栏的【重置密码】按钮。在弹出的窗口中，使用主账号的手机号码，对子用户的初始密码进行重置。由于IAM迁移过程不能迁移密码，因此在迁移完成后子用户的初始密码未知，子用户无法使用原先在CDN+IAM的密码登陆。 6. 【本步骤可选】如果需要重置密码的子用户数量较多，您可以在第四步完成手机号码重置之后，在子账号首次登陆时，通过忘记密码的流程对子用户密码进行重置。（1）在登陆窗口选择【账号登陆】，点击【忘记密码】（2）输入第四步重置的账号信息，建议输入手机号码。如果您使用邮箱作为登陆凭证，需要确保割接时使用的虚拟邮箱已被替换成真实的邮箱地址，否则可能接收不到验证信息，导致重置流程失效。（3）如果您的手机号在天翼云注册过多个主、子账号身份，您需要在接下来的界面选择根据脱敏信息匹配当前组织的子账号身份。（4）在接下来的步骤中输入符合安全规则的密码，即可完成密码重置。

本章节为您介绍服务相关的内容。 服务通常指的是 API 网关要连接和转发请求的目标服务。在微服务架构中 ，这些目标服务可以是各种不同的后端服务 ， 比如数据库服务、用户服务、支付服务等。服务可以是内部的私有服务 ，也可以是外部的第三方服务。 本系统还提供服务发现、负载均衡、健康检查等功能。 创建服务 1.登录API安全网关。 2.在左侧导航栏选择“资源 > 服务”，进入服务列表页面。 3.单击页面左上方的“新增”按钮，在左侧弹出的“新增服务”对话框中填写相关内容。 字段 说明 服务名称 自定义服务名称，只能取唯一值。 大模型 选择是否使用大模型，选择开启后需要选择“模型提供方”。 应用代理 选择是否开启代理，开启后需要填写“代理端口”及“代理协议”。 描述 对新增的服务添加简要描述。 负载均衡算法 选择负责均衡算法，目前支持以下四种： 一致哈希：相同特征的请求将分配至同一个上游节点。 带权轮询：按照配置的权重比例分配请求数量至上游节点。 指数加权移动平均法：请求将更多地分配给效率高的上游节点。 最小连接数：选取当前连接数量最少的上游节点分发请求。 上游类型 节点：需要填写节点主机名、端口、权重。 服务发现：选择服务发现的类型，支持选择DNS、Consul KV、Nacos、Euereka、Kubernetes。 Host请求头 保持与客户端一致的主机名。 使用目标节点列表中的主机名或IP。 重试次数 重试机制将请求发到下一个上游节点。 值为0表示禁用重试机制，留空表示使用可用后端节点的数量。 重试超时时间 限制是否继续重试的时间，若之前的请求和重试请求花费太多时间就不再继续重试。 0代表不启用重试超时机制。 协议 服务端使用的协议类型，默认为：HTTP协议。 支持选择：HTTP、HTTPs、gRPC、gRPCs、TCP、TLS、UDP、Kafka。 连接超时 建立从请求到后端服务器的连接的超时时间，默认值6s。 发送超时 发送数据到后端服务器的超时时间，默认值6s。 接收超时 从后端服务器接收数据的超时时间，默认值6s。 连接池容量 为后端设置独立的连接池，默认值320。 连接池空闲超时时间 默认值60。 连接池请求数量 默认值1000。 健康监测 选择是否开启健康监测功能。 身份认证 选择身份认证方式，支持以下四种选择： 无认证：不开启身份认证方式。 Key认证：Key认证用于向API添加身份验证密钥。它需要与API调用者一起配合才能工作，通过API调用者将其密钥添加到查询参数或请求头中以验证其请求。 摘要签名认证：摘要签名认证可以将HMAC认证添加到服务。它需要与API调用者一起配合才能工作，通过API调用者将其密钥添加到查询参数或请求头中以验证其请求。 JWT认证：将JWT身份验证添加到服务中，通过API调用者将其密钥添加到查询字符串参数、请求头或Cookie中用来验证其请求。 4.添加完成后，单击“下一步”，进入插件配置环节，具体的插件功能请参照控制台说明，若需要启用插件单击对应插件下方的“启用”按钮即可启用。 5.完成插件配置后，单击“下一步”确认服务信息，若信息无误单击“保存”即可完成添加服务。

该任务指导用户退订购买的数据安全中心服务。 该任务指导用户退订购买的数据安全中心服务。DSC不支持单独退订扩展包，如果您要退订扩展包，只能将购买的服务版本和扩展包一起退订。 操作步骤 1. 登录管理控制台。 2. 在界面右上方，单击“费用”，进入“费用中心”界面。 3. 在左侧导航树上选择“订单管理 > 退订管理”。 4. 根据页面提示完成退订。

产品优势 分布式消息服务MQTT具有协议丰富、安全可靠、低成本高性能、消息互通等优势，适用于大规模分布式系统中的消息传递和处理场景。 协议丰富： 兼容支持原生多种标准协议，如MQTT、MQTTSN、CoAP、LwM2M；兼容任何支持MQTT协议的 SDK覆盖绝大多数移动端开发平台及开发语言。 安全可靠： 数据安全，支持SSL加密通信，提供身份认证，数据传输更安全可靠。 低成本高性能： 稳定承载大规模终端设备连接，资源占用少；消息路由快速低延时，单集群支持百万规模的路由。 更多信息请参见产品优势。 应用场景 分布式消息服务MQTT可以用于许多应用场景，其灵活性和轻量级特性使其适用于各种需要实时消息传输和发布/订阅模型的应用，如物联网通信、远程监控及控制、传感器数据采集等。 物联网（IoT）通信 MQTT广泛用于连接和管理大规模的物联网设备。它允许传感器、嵌入式设备和其他物联网终端之间进行实时数据通信，以监测环境、收集数据和实现智能控制。 远程监控和控制 MQTT可用于远程监控和控制系统，如监控能源设备、工业自动化、智能家居系统等。它使操作员能够实时监测设备状态，同时可以通过发布命令来实现设备控制。 传感器数据采集 MQTT用于将传感器数据从分布式传感器网络传送到数据中心或云平台，以进行分析和处理。这对于监测环境、天气预报、农业数据收集等非常有用。 更多信息请参见应用场景。

物理机服务广泛应用于多种场景,本文带您更快了解物理机服务经典应用场景。 高安全性和监管要求 国防、银行、金融机构以及具有高度合规性要求的行业，如医疗和保险，对于数据安全和监管合规性有严格的要求。天翼云物理机提供了物理隔离和独享资源的能力，通过采用物理机部署、网络隔离和专线接入等方式，确保数据的安全性和隐私保护，满足这些行业的高要求。 关键业务核心数据库 企业核心业务的关键数据库，如客户关系管理（CRM）、企业资源计划（ERP）和大型交易系统等，通常对性能、可靠性和数据安全有较高的要求。天翼云物理机提供了专属的计算资源和本地存储，保证高负载和复杂查询的需求，并确保数据的隔离和可靠性，为企业提供稳定可靠的关键业务支持。 大数据分析 互联网、电商、社交媒体等行业需要处理海量数据并进行实时分析。天翼云物理机提供高带宽、大容量的存储和计算资源，满足大规模数据处理、分布式计算和实时分析的需求，助力企业做出准确决策和优化业务运营，挖掘数据中的价值。 容器场景 电商平台、游戏等业务弹性要求较高、性能要求更高的场景，可采用物理机部署容器的方案。相比在云主机中容器，物理机中部署容器提供更高的部署密度、更低的资源开销和更加敏捷的部署效率。基于云原生技术，帮助客户实现降低云化成本的目标，满足业务快速发展和高性能要求。

本文介绍Redis实例的发布订阅(pubsub)注意事项 订阅和发布的顺序：在使用 Redis 的发布订阅功能时，订阅者（Subscriber）必须先订阅频道（Channel）才能接收到发布者（Publisher）发送的消息。如果先发布消息而没有订阅者监听该频道，那么消息将会丢失。因此，在使用发布订阅功能时，要确保订阅者在发布者发送消息之前已经成功订阅了频道。 异步处理：Redis 的发布订阅功能是异步的，即发布者发送消息后，订阅者可能不会立即接收到消息。这是因为订阅者与发布者之间存在网络延迟和处理时间。因此，在订阅消息后，订阅者需要以异步方式处理接收到的消息，并考虑可能出现的延迟。 取消订阅：当不再需要接收某个频道的消息时，订阅者应该主动取消订阅，以减少不必要的网络开销和资源消耗。可以使用 UNSUBSCRIBE 命令取消订阅指定频道，或使用 PUNSUBSCRIBE 命令取消订阅所有频道。 频道命名规范：在定义频道名称时，要注意选择有意义且易于区分的名称。频道名称可以是字符串，但最好遵循一定的命名规范，以免产生混淆或错误地订阅了不正确的频道。 安全性考虑：Redis 的发布订阅功能是公开的，任何连接到 Redis 的客户端都可以订阅频道并接收消息。因此，要特别注意在敏感信息传输或涉及安全性的场景中使用发布订阅功能，并考虑适当的安全措施，例如使用认证和加密等方式来保护数据的安全性。

数据库审计的审计数据可以保存多久？ 数据库审计支持将在线和归档的审计数据至少保存180天的功能。根据实际的磁盘大小，会优先删除存储日期较早的审计数据。 若您需要更多的磁盘空间，可选择买更高级的数据库审计实例规格或者购买磁盘存储容量。 数据库审计发生异常，多长时间用户可以收到告警通知？ 在数据库审计正常运行的情况下，从系统发生异常到收到告警通知最大时延不超过5分钟。 在业务侧使用中间件会影响数据库审计功能吗？ 不会影响使用数据库安全审计。 中间件是介于应用系统和操作系统之间的一类软件，通常在操作系统、网络和数据库之上，应用软件的下层，是为处于上层的应用软件提供运行与开发的环境，帮助用户灵活、高效地开发和集成复杂的应用软件。 数据库安全审计采用旁路模式部署，通过Agent（数据库节点或应用节点安装Agent）获取访问数据库流量、将流量数据上传到审计系统、接收审计系统配置命令和上报数据库状态监控数据，从而实现数据库安全审计功能。 因此，您在业务侧使用中间件不影响数据库安全审计功能，不会导致Agent监听SQL失败或者审计没有数据。 数据库审计能否对第三方工具执行的SQL语句进行捕捉？ 可以。数据库审计审计的数据是Agent接入的全量日志和流量数据，与工具无关。 数据库审计是否支持云下部署？ 不支持。数据库审计需要部署在您所使用的云上的服务器中，您需要将相关的业务迁移至目标云上。

在线加密 在线加密是对称密钥加密的场景，适用于保护小型敏感数据（小于6KB），如口令、证书、身份信息、后台配置文件等。通过密钥管理服务KMS的在线加密API，使用用户主密钥（CMK）直接加密敏感数据信息，而非直接将明文存储，确保敏感数据安全。 信封加密 信封加密是对称密钥加密的场景，是一种应对海量数据的高性能加解密方案。这种技术不再使用用户主密钥（CMK）直接加密和解密数据，而是通过生成加密数据的数据密钥（DEK），将其封入信封中（即通过CMK加密）存储、传递和使用，由KMS确保数据密钥的随机性和安全性。 实际使用时，用户无需将大量业务数据上传至KMS服务端，直接通过离线的数据密钥在本地实现加解密，有效避免安全隐患，保证了业务加密性能的要求。 签名验签 数字签名技术是非对称加密算法的另一种典型应用。用户可在KMS中创建非对称用户主密钥（CMK），其由一对关联的公钥和私钥构成。公钥可以被分发给任何人，而私钥由KMS确保安全性，不提供任何接口导出非对称密钥的私钥。 使用者仅能通过接口调用私钥进行签名运算。 实际使用时，签名者将验签公钥分发给消息接收者，签名者使用签名私钥，对数据产生签名，签名者将数据以及签名传递给消息接收者，消息接收者获得数据和签名后，使用公钥针对数据验证签名的合法性。

本节介绍创建池化云电脑的操作说明。 操作场景 AI云电脑支持共享使用，对无专属数据要求的使用场景，如学校电教室、呼叫中心等用户，可使用池化桌面满足共享资源需求。 可以使用资源包中的资源开通池化桌面，您可以创建一定数量的AI云电脑，与桌面池关联的用户通过先到先得的排队方式使用桌面池中的电脑资源。 池化桌面数量和用户数量最高支持 1:3 配比，若池化桌面已使用完，用户需排队等待。 池化桌面需通过资源包方式开通，请先订购资源包，详见订购资源包。 操作步骤 1.进入“AI云电脑（政企版）”管理控制台； 2.展开“AI云电脑管理”菜单栏，选择“桌面管理”，点击“创建桌面”，进入“创建桌面”页面； 3.在池化桌面管理页面，点击“创建桌面池”； 4.填写池化桌面名称； 5.选择可用的资源包； 6.根据需求选择需要池化桌面的规格类型“普通AI云电脑”或GPUAI云电脑“； 普通AI云电脑：性能强劲，满足企业安全办公、大内存软件运行、多任务处理、数据分析、高效运维等需求。 GPUAI云电脑：满足学校教学， 普通图像办公，高清视频播放等需求。搭配高性能显卡及固态硬盘，具备更全面的图像加速能力，满足企业图形设计、图形渲染、3D制作等需求。 注：仅部分资源池支持开通GPUAI云电脑，实际规格类型以页面显示内容为准。 7.选择桌面开通数量； 注意：池化桌面与用户数量比例为1:3。 8.选择AI云电脑的“镜像类型”； 9.选择AI云电脑的“磁盘选择”； 系统盘：普通AI云电脑默认已包含80GB高IO系统盘，GPUAI云电脑默认已包含120GB超高IO系统盘。 数据盘：根据实际情况选择桌面数据盘配置，每台桌面实例最多可添加5块数据盘，每块数据盘最大存储容量为2000GB。 注意 资源包开通的桌面系统盘最高可扩容至200GB，单实例开通的桌面系统盘最高可扩容至500GB。 10.根据需求选择池化桌面的断连设置、关机还原策略； 11.选择AI云电脑的“vpc”和“业务子网”； 注：AI云电脑所选的业务子网需要绑定带宽，桌面才能连接网络。 通过将上网带宽与业务子网建立绑定关系，来控制业务子网下AI云电脑的最终可用带宽。详情可参考管理上网带宽 12.选择账号类型，并填写分配电脑的账号信息； 管理员激活：管理员直接创建的账号，无需激活即可使用。 邮件通知激活：需要发送激活邮件，用户激活后，账号即可使用。 选择已有用户：选择已经存在的用户进行电脑分配。 13.确认相关的配置信息，点击“开通桌面”，即完成池化桌面开通。

本节介绍了通过界面安装和卸载插件的相关内容。 操作场景 RDS支持用户在界面自主安装与卸载插件。 RDS for PostgreSQL插件是数据库级生效，并不是全局生效。因此创建插件时需要在对应的业务库上进行手动创建。 前提条件 安装和卸载插件前，请确保实例下已有数据库。 注意事项 plpgsql为内置插件，不允许卸载。 decoderbufs（仅在PostgreSQL 11至PostgreSQL 14版本支持），wal2json（PostgreSQL 11及以上版本支持）等逻辑复制插件可以直接使用，不需要安装。 部分插件依赖“sharedpreloadlibraries”参数，只有在加载相关库之后，才能安装成功。 pgcron插件当前仅支持PostgreSQL 12（12.11.0及其以上版本）、PostgreSQL 13及以上版本。使用时需要先修改参数“cron.databasename”为需要使用的数据库（仅支持单个数据库），同时修改“cron.usebackgroundworkers”为“on”。 pltcl插件在PostgreSQL 13.2版本实例暂不支持使用，如需使用该插件，请先升级到最新小版本。 部分插件安装或卸载时，会同步安装或卸载其依赖插件，以及相关依赖表。例如：创建插件postgissfcgal时，需要先创建postgis插件，这时会同步创建postgissfcgal插件；同时，卸载postgis插件时，会同步卸载postgissfcgal插件。 部分插件在小版本升级后不支持直接升级，如需升级请卸载后重新安装。 修改sharedpreloadlibraries参数 部分插件在安装前，须先加载对应的参数值，否则无法安装。 支持通过修改sharedpreloadlibraries参数来批量加载参数值，或在安装插件前单独加载对应参数值。 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在实例列表，单击实例名称，进入实例的基本信息页面。 步骤 5 在左侧导航栏，选择“插件管理”。 步骤 6 在“插件管理”页面，单击“已加载sharedpreloadlibraries参数值”后的 ，查看已加载参数。 步骤 7 单击“管理参数值”。 步骤 8 在下拉框中选择要加载的参数，单击“确认”。 步骤 9 在弹出框中，单击“确定”，修改sharedpreloadlibraries参数值。 说明 sharedpreloadlibraries参数值修改后，需要重启实例才能生效。如果包含只读实例，修改主实例参数后，会同步修改只读实例的参数，需要同时重启只读实例。 为了保证PostgreSQL的安全及运维功能的完善，sharedpreloadlibraries参数中，如下参数默认加载，不允许删除： passwordcheck.so pgstatstatements pgsqlhistory pgaudit 步骤 10 您也可以在安装插件前单独加载对应参数值。 结束

此小节介绍监控服务。 DBSS监控指标说明 功能说明 本节定义了数据库安全服务上报云监控服务的监控指标的命名空间，监控指标列表和维度定义，用户可以通过云监控服务提供管理控制台或API接口来检索数据库安全服务的监控指标和告警信息。 命名空间 SYS.DBSS 说明 命名空间是对一组资源和对象的抽象整合。在同一个集群内可创建不同的命名空间，不同命名空间中的数据彼此隔离。使得它们既可以共享同一个集群的服务，也能够互不干扰。 监控指标 数据库安全服务支持的监控指标 指标ID 指标名称 指标含义 取值范围 测量对象 监控周期（原始指标） cpuutil CPU使用率 该指标用于统计测量对象的CPU利用率。 单位：百分比 采集方式：100%减去空闲CPU占比 0～100 % 值类型：Float 数据库审计实例 1分钟 memutil 内存使用率 该指标用于统计测量对象的内存利用率。 单位：百分比 采集方式：100%减去空闲内存占比 0～100 % 值类型：Float 数据库审计实例 1分钟 diskutil 磁盘使用率 该指标用于统计测量对象的磁盘利用率。 单位：百分比 采集方式：100%减去空闲磁盘占比 0～100 % 值类型：Float 数据库审计实例 1分钟 设置监控告警规则 通过设置DBSS告警规则，用户可自定义监控目标与通知策略，设置告警规则名称、监控对象、监控指标、告警阈值、监控周期和是否发送通知等参数，帮助您及时了解数据库安全状况，从而起到预警作用。

本页介绍了实例连接方式。 连接方式 IP地址 使用场景 说明 内网连接 内网IP地址 系统默认提供内网IP地址。 当应用部署在弹性云主机上，且该弹性云主机与文档数据库服务实例处于同一区域，同一VPC时，建议使用内网IP地址连接文档数据库服务实例。 安全性高。 为了获得更快的传输速率和更高的安全性，建议您将应用迁移到与您的DDS实例在同一虚拟私有云子网内，使用内网连接。 公网连接 弹性公网IP 当应用部署在弹性云主机上，且该弹性云主机与文档数据库服务实例处于不同区域时，建议使用弹性公网IP连接文档数据库实例。 如果您使用天翼云以外的设备（例如本地设备、其他云厂商服务器等）连接文档数据库服务实例，建议使用弹性公网IP连接文档数据库服务实例。 安全性稍低。 公网连接需要购买弹性公网IP，并与文档数据库服务实例节点进行绑定。

本节介绍对数据源的管理，可以启用停止/数据源。 在数据源监控中可以查看到已经接入到系统的数据源。可以直接通过开关对数据源进行开启或关闭，云安全中心会根据您的操作对数据源数据进行收取或拒绝收取。 注意事项 选择需要接入的数据源时，只能针对您已经购买的云产品。 启用数据源 1. 登录云安全中心控制台。 2. 在左侧导航栏，选择“设置 > 数据源监控”，打开数据源监控页面。 3. 选择需要接入的数据源，在操作列单击启用图标，启用数据源。 停止数据源 注意 停止数据源后，对应的“集成配置”将不允许操作。 1. 登录云安全中心控制台。 2. 在左侧导航栏，选择“设置 > 数据源监控”，打开数据源监控页面。 3. 选择需要停止的数据源，在操作列单击停止图标，停止数据源。

本节介绍了ECX主要具备的存储能力。 提供伴随计算实例创建云硬盘、本地盘以及本地裸盘等磁盘的功能。 支持多种规格：高IO、超高IO等，可满足I/O密集型业务的需求。 支持对多种磁盘便捷操作，包括创建，挂载，卸载，删除等，让存储管理轻松高效。 支持云硬盘快照，可手动创建、以及指定时间自动创建快照，保证误操作导致的数据丢失时，可及时恢复数据，保证数据的安全性。 支持云硬盘备份，保证数据存储安全可靠，可异地备份，将备份数据存储在不同的地理区域，提高数据的容灾能力。 支持基于云硬盘快照创建新云硬盘、基于云硬盘备份创建新云硬盘，为数据存储与恢复提供双重可靠途径，极大地提升了数据管理的灵活性与安全性。 支持对云硬盘、本地盘的容量升级，以适应业务变化，轻松应对数据增长需求。 支持监控本地盘和云硬盘的IO情况，精准掌握存储动态，确保数据读写高效稳定，为您的业务运行保驾护航。

本小节介绍服务器安全卫士的设置通知方式。 通知类型 产品到期、入侵告警等，支持邮箱、站内信和短信通知。 设置方法 初次登录服务器安全卫士时，需要录入手机号和邮箱，以便进行通知。 也可以登录消息中心——消息接收设置界面，设置接收的消息类型、接收方式，或增加接收人。

平台提供了以下大模型API能力。 模型名称 模型简介 模型ID DeepSeekR1昇腾版 DeepSeekR1是一款具有671B参数大小的创新性大语言模型，由杭州深度求索人工智能基础技术研究有限公司开发。该模型基于 transformer 架构，通过对海量语料数据进行预训练，结合注意力机制，能够理解和生成自然语言。它经过监督微调、人类反馈的强化学习等技术进行对齐，具备语义分析、计算推理、问答对话、篇章生成、代码编写等多种能力。R1 模型在多个 NLP 基准测试中表现出色，具备较强的泛化能力和适应性。 4bd107bff85941239e27b1509eccfe98 DeepSeekR1昇腾版2 DeepSeekR1是一款具有671B参数大小的创新性大语言模型，该模型基于 transformer 架构，通过对海量语料数据进行预训练，结合注意力机制，经过监督微调、人类反馈的强化学习等技术进行对齐，具备语义分析、计算推理、问答对话、篇章生成、代码编写等多种能力。R1 模型在多个 NLP 基准测试中表现出色，具备较强的泛化能力和适应性。 7ba7726dad4c4ea4ab7f39c7741aea68 DeepSeekV3昇腾版 DeepSeekV3是DeepSeek团队开发的新一代专家混合（MoE）语言模型，共有671B参数，在14.8万亿个Tokens上进行预训练。该模型采用多头潜在注意力（MLA）和DeepSeekMoE架构，继承了DeepSeekV2模型的优势，并在性能、效率和功能上进行了显著提升。 9dc913a037774fc0b248376905c85da5 DeepSeekR1DistillLlama70B DeepSeekR1DistillLlama70B是基于Llama架构并经过强化学习和蒸馏优化开发的高性能语言模型。该模型融合了DeepSeekR1的先进知识蒸馏技术与Llama70B模型的架构优势。通过知识蒸馏，在保持较小参数规模的同时，具备强大的语言理解和生成能力。 515fdba33cc84aa799bbd44b6e00660d DeepSeekR1DistillQwen32B DeepSeekR1DistillQwen32B是通过知识蒸馏技术从DeepSeekR1模型中提炼出来的小型语言模型。它继承了DeepSeekR1的推理能力，专注于数学和逻辑推理任务，但体积更小，适合资源受限的环境。 b383c1eecf2c4b30b4bcca7f019cf90d Baichuan2Turbo BaichuanTurbo系列模型是百川智能推出的大语言模型，采用搜索增强技术实现大模型与领域知识、全网知识的全面链接。 43ac83747cb34730a00b7cfe590c89ac Llama213BChat Llama2是预先训练和微调的生成文本模型的集合，其规模从70亿到700亿个参数不等。这是13B微调模型的存储库，针对对话用例进行了优化。 96dc8f33609d4ce6af3ff55ea377831a Qwen7BChat 通义千问7B（Qwen7B）是阿里云研发的通义千问大模型系列的70亿参数规模的模型。Qwen7B是基于Transformer的大语言模型, 在超大规模的预训练数据上进行训练得到。预训练数据类型多样，覆盖广泛，包括大量网络文本、专业书籍、代码等。同时，在Qwen7B的基础上，使用对齐机制打造了基于大语言模型的AI助手Qwen7BChat。 fc23987da1344a8f8bdf1274e832f193 Llama27BChat Llama27BChat是Meta AI开发的大型语言模型Llama2家族中最小的聊天模型。该模型有70亿个参数，并在来自公开来源的2万亿token数据上进行了预训练。它已经在超过一百万个人工注释的指令数据集上进行了微调。 e30f90ca899a4b1a9c25c0949edd64fc Llama270BChat Llama 2 是预训练和微调的生成文本模型的集合，规模从 70 亿到 700 亿个参数不等。这是 70B 微调模型的存储库，针对对话用例进行了优化。 bafbc7785d50466c89819da43964332b Qwen1.57BChat 通义千问1.5（Qwen1.5）是阿里云研发的通义千问系列开源模型，是一种基于 Transformer 的纯解码器语言模型，已在大量数据上进行了预训练。该系列包括Base和Chat等多版本、多规模，满足不同的计算需求，这是Qwen1.57BChat版本。 bfc0bdbf8b394c139a734235b1e6f887 Qwen272BInstruct Qwen2 是 Qwen 大型语言模型的新系列。Qwen2发布了5个尺寸的预训练和指令微调模型，包括Qwen20.5B、Qwen21.5B、Qwen27B、Qwen257BA14B以及Qwen272B。这是指令调整的 72B Qwen2 模型，使用了大量数据对模型进行了预训练，并使用监督微调和直接偏好优化对模型进行了后训练。 2f05789705a64606a552fc2b30326bba ChatGLM36B ChatGLM36B 是 ChatGLM 系列最新一代的开源模型，在保留了前两代模型对话流畅、部署门槛低等众多优秀特性的基础上，ChatGLM36B 引入了更强大的基础模型、更完整的功能支持、更全面的开源序列几大特性。 7450fa195778420393542c7fa13c6640 TeleChat12B 星辰语义大模型TeleChat是由中电信人工智能科技有限公司研发训练的大语言模型，TeleChat12B模型基座采用3万亿 Tokens中英文高质量语料进行训练。TeleChat12Bbot在模型结构、训练数据、训练方法等方面进行了改进，在通用问答和知识类、代码类、数学类榜单上相比TeleChat7Bbot均有大幅提升。 fdc31b36028043c48b15131885b148ce Qwen1.514BChat 通义千问1.5（Qwen1.5）是阿里云研发的通义千问系列开源模型，是一种基于 Transformer 的纯解码器语言模型，已在大量数据上进行了预训练。该系列包括Base和Chat等多版本、多规模，满足不同的计算需求，这是Qwen1.514BChat版本。 acfe01f00b0c4ff49c29c6c77b771b60 Llama38BInstruct Meta 开发并发布了 Meta Llama 3 系列大型语言模型 （LLM），包含 8B 和 70B 两种参数大小，Llama38BInstruct 是经过指令微调的版本，针对对话用例进行了优化，在常见的行业基准测试中优于许多可用的开源聊天模型。 bda59c34e4424598bbd5930eba713fbf Llama370BInstruct Meta 开发并发布了 Meta Llama 3 系列大型语言模型 （LLM），包含 8B 和 70B 两种参数大小，Llama370BInstruct 是经过指令微调的版本，针对对话用例进行了优化，在常见的行业基准测试中优于许多可用的开源聊天模型。 6192ed0cb6334302a2c32735dbbb6ce3 Qwen1.572BChat 通义千问1.5（Qwen1.5）是阿里云研发的通义千问系列开源模型，是一种基于 Transformer 的纯解码器语言模型，已在大量数据上进行了预训练。该系列包括Base和Chat等多版本、多规模，满足不同的计算需求，这是Qwen1.572BChat版本。 9d140d415f11414aa05c8888e267a896 Qwen1.532BChat Qwen1.532B 是 Qwen1.5 语言模型系列的最新成员，除了模型大小外，其在模型架构上除了GQA几乎无其他差异。GQA能让该模型在模型服务时具有更高的推理效率潜力。这是Qwen1.532BChat版本。 12d5a37bf1ed4bf9b1cb8e446cfa60b3 InternLM2Chat7B InternLM2Chat7B 是书生·浦语大模型系列中开源的 70 亿参数库模型和针对实际场景量身定制的聊天模型。InternLM2相比于初代InternLM，在推理、数学、代码等方面的能力提升尤为显著，综合能力领先于同量级开源模型。 50beebff68b34803bd71d380e49078f5 Qwen27BInstruct Qwen27BInstruct是 Qwen2大型语言模型系列中覆盖70亿参数的指令调优语言模型，支持高达 131,072 个令牌的上下文长度，能够处理大量输入。 0e97efbf3aa042ebbaf0b2d358403b94 QwenVLChat QwenVLChat模型是在阿里云研发的大规模视觉语言模型 QwenVL 系列的基础上，使用对齐机制打造的视觉AI助手，该模型有更优秀的中文指令跟随，支持更灵活的交互方式，包括多图、多轮问答、创作等能力。 e8c39004ff804ca699d47b9254039db8 StableDiffusionV2.1 StableDiffusionV2.1是由 Stability AI 公司推出的基于深度学习的文生图模型，它能够根据文本描述生成详细的图像，同时也可以应用于其他任务，例如图生图，生成简短视频等。 40f9ae16e840417289ad2951f5b2c88f DeepseekV2LiteChat DeepseekV2LiteChat是一款强大的开源专家混合（MoE）语言聊天模型，具有16B参数，2.4B活动参数，使用5.7T令牌从头开始训练，其特点是同时具备经济的训练和高效的推理。 0855b510473e4ec3a029569853f64974 Qwen2.572BInstruct Qwen2.5系列发布了许多基本语言模型和指令调整语言模型，参数范围从0.5到720亿个参数不等。Qwen2.572BInstruct模型是Qwen2.5系列大型语言模型指令调整版本。 d9df728b30a346afb74d2099b6c209aa Gemma29BIT Gemma29BIT是Google最新发布的具有90亿参数的开源大型语言模型的指令调优版本。模型在大量文本数据上进行预训练，并且在性能上相较于前一代有了显著提升。该版本的性能在同类产品中也处于领先地位，超过了Llama38B和其他同规模的开源模型。 4dae2b9727db46b7b86e84e8ae6530a9 Llama3.23BInstruct Meta Llama3.2多语言大型语言模型（LLMs）系列是一系列预训练及指令微调的生成模型，包含1B和3B参数规模。Llama3.2指令微调的纯文本模型专门针对多语言对话应用场景进行了优化，包括代理检索和摘要任务。它们在通用行业基准测试中超越了许多可用的开源和闭源聊天模型。这是Llama3.23BInstruct版本。 f7d0baa95fd2480280214bfe505b0e2e ChatGLM36B32K ChatGLM36B32K模型在ChatGLM36B的基础上进一步强化了对于长文本的理解能力，能够更好的处理最多32K长度的上下文。具体对位置编码进行了更新，并设计了更有针对性的长文本训练方法，在对话阶段使用 32K 的上下文长度训练。 98b6d84f6b15421886d64350f2832782 CodeGemma7BIT CodeGemma是构建在Gemma之上的轻量级开放代码模型的集合。CodeGemma7BIT模型是CodeGemma系列模型之一，是一种文本到文本和文本到代码的解码器模型的指令调整变体，具有70亿参数，可用于代码聊天和指令跟随。 fa8b78d2db034b6798c894e30fba1173 Qwen2.5Math7BInstruct Qwen2.5Math系列是数学专项大语言模型Qwen2Math的升级版。系列包括1.5B、7B、72B三种参数的基础模型和指令微调模型以及数学奖励模型Qwen2.5MathRM72B，Qwen2.5Math7BInstruct的性能与Qwen2Math72BInstruct相当。 ea056b1eedfc479198b49e2ef156e2aa DeepSeekCoderV2LiteInstruct DeepSeekCoderV2LiteInstruct是一款强大的开源专家混合（MoE）语言聊天模型，具有16B参数，2.4B活动参数。该模型基于DeepSeekV2进一步预训练，增加了6T Tokens，可在特定的代码任务中实现与GPT4Turbo相当的性能。 f23651e4a8904ea589a6372e0e860b10

本节主要介绍怎么在控制台创建IAM用户。 登录“访问控制”>“概览”，在“账户概览”区域下，点击“创建用户”；或者登录“访问控制”>“用户管理”>“用户”，点击“创建”。 按照下列步骤创建IAM用户： 1. 设置用户 根据页面提示添加用户名，可以添加一个或多个用户，并为新创建的用户设置访问方式。 2. 设置权限 为IAM用户设置权限。 有三种添加权限的方式（只能选择一种）： 1. 将用户添加到组 （前提：已经有用户组）：用户将继承该用户组的所有权限，一个用户最多可以加入10个组。 2. 从现有用户复制 （前提：现有用户有通过直接附加的方式被授权的策略），每次只能复制一个用户的权限。只能复制现有用户直接附加的策略，不能复制用户所在组的策略。 3. 附加现有策略 ：直接为用户添加现有的策略，每个用户最多可以直接添加10个策略。 用户设置权限时，只能选择以上三种方式中的一种为用户授权，当用户已经选择某一种权限设置方式，并进行了必要的勾选后，再切换其他授权方式会弹出提示框。 说明 可以创建用户时为用户添加策略，也可以用户创建完成后，再为其添加策略。 注意 每个用户最多可以直接附加10条策略，不包含随组附加的策略。 3. 设置标签 管理员可以为IAM用户设置标签，标签为IAM用户的附加属性。一个用户最多可以添加10个标签。 说明 不能为单个标签指定多个值，但多个标签键可以有相同的标签值。 项目 描述 :: 标签键 可以包含字母、数字、空格以及加号(+)、等号()、句点(.)、at符号(@)、下划线()、连字符()、冒号(:)、正斜杠(/)符号的任意组合。 标签键不区分大小写，但保留大小写。例如不能同时存在Department和department标签键，如果使用Departmentfoo标签标记用户后又添加departmentbar标签，则它会替换第一个标签，标签值变为bar。 标签值 可以为空。 4. 信息审核 对新建用户的信息进行审核，如果需要更改，可以在此页面点击对应的编辑标识，然后到对应的页面进行修改。 5. 完成 点击“下载凭证”，保存新建用户的密钥和密码。 注意 安全凭证仅能下载一次，务必妥善保管。如果某一用户的密钥丢失，可以在该用户详情页，先对原密钥进行删除，然后通过“创建密钥”的方式重新获取新的密钥。如果密码丢失，需要有修改密码权限的用户在控制台进行对该用户密码重置。

本文通过图文说明新增证书的操作步骤及注意事项等。 功能介绍 HTTPS为CDN的网络内容传输提供了更好的保障，客户端在极速访问内容的同时，可以更安全有效地浏览网站内容。HTTPS功能的具体介绍，详情请见：HTTPS配置。本文主要指导客户如何新增证书。 配置说明 新增证书时，客户需要填写证书备注名、证书公钥以及证书私钥。其中公钥和私钥支持PEM格式。具体操作步骤如下： 1. 登录CDN控制台。 2. 在【证书管理】【证书列表】页面，找到左上角的【添加自有证书】按键。 3. 单击【添加自有证书】。 4. 选择证书类型，输入证书备注名、证书公钥和证书私钥等信息，填写完成后，单击【确定提交】。 注意 证书备注名，是指在添加自有证书时，为了方便识别和记忆，可以支持客户自定义所上传证书的名称，方便在域名配置关联证书选择时，选定正确的证书与域名进行关联。 参数说明 证书类型 参数 说明 国际标准证书 证书备注名 证书备注名，是指在添加自有证书时，为了方便识别和记忆，可以支持客户自定义所上传证书的名称，方便选择时，选定正确的证书与所配置的域名进行关联。 如果已经在【证书管理】上传证书，可直接选择对应域名证书。如果还未上传证书，可单击【点击上传】，添加自有证书。添加完毕后，再选择对应证书。 国际标准证书 证书公钥 指国际标准证书的公钥，只支持PEM格式。以“BEGIN CERTIFICATE”开头，以“END CERTIFICATE”结尾。 国际标准证书 证书私钥 指国际标准证书的私钥，只支持PEM格式。以“BEGIN RSA PRIVATE KEY”开头，“END RSA PRIVATE KEY”结尾。 国密证书 证书备注名 证书备注名，是指在添加自有证书时，为了方便识别和记忆，可以支持客户自定义所上传证书的名称，方便选择时，选定正确的证书与所配置的域名进行关联。 如果已经在【证书管理】上传证书，可直接选择对应域名证书。如果还未上传证书，可单击【点击上传】，添加自有证书。添加完毕后，再选择对应证书。 国密证书 签名证书公钥 指国密签名证书的公钥，只支持PEM格式。以“BEGIN CERTIFICATE”开头，以“END CERTIFICATE”结尾。 国密证书 签名证书私钥 指国密签名证书的私钥，只支持PEM格式。以“BEGIN RSA PRIVATE KEY”开头，“END RSA PRIVATE KEY”结尾。 国密证书 加密证书公钥 指国密加密证书的公钥，只支持PEM格式。以“BEGIN CERTIFICATE”开头，以“END CERTIFICATE”结尾。 国密证书 加密证书私钥 指国密加密证书的私钥，只支持PEM格式。以“BEGIN RSA PRIVATE KEY”开头，“END RSA PRIVATE KEY”结尾。

本章节介绍如何进行MCP服务的注册与配置管理 概述 MSE Nacos 企业版支持MCP（Model Context Protocol，模型上下文协议）服务的注册与配置管理。MCP是一种开放标准，旨在统一大型语言模型（LLM）与外部数据源和工具之间的通信协议，解决当前 AI 模型数据孤岛限制，使得 AI 应用能够安全地访问和操作本地及远程数据。 说明 目前只有 MSE Nacos企业版3.0及以上版本支持MCP服务。您可以根据业务需求的不同，选择微服务引擎注册配置中心提供的三种MCP服务创建方式： 标准MCP服务：从零构建完整MCP配置。 HTTP转化MCP服务：将存量HTTP服务转换为MCP服务。 动态注册MCP服务：通过Nacos SDK实现服务自动注册。 企业版目前支持通过白名单方式开放订购，若您需要订购使用，请联系客户经理或提工单进行解决。 创建MCP服务 在微服务引擎MSE注册配置中心管理控制台可以创建标准MCP服务和HTTP转化MCP服务，下面分别说明创建操作步骤： 创建标准MCP服务 1. 登录微服务引擎 MSE注册配置中心管理控制台，选择实例所在的资源池。 2. 在左侧导航栏，选择注册配置中心 > 实例列表，选择企业版Nacos实例，单击实例ID 或者管理按钮跳转至基础信息页面。 3. 在基础信息页面，左侧菜单点击MCP管理 > MCP列表，选择命名空间， 然后单击创建MCP服务，并单击标准MCP服务页签。 4. 在标准MCP服务页面，配置服务名称、描述、版本号等基本信息，其中重要参数说明如下： MCP协议类型： Stdio：无网络依赖，只能访问本地资源无法访问云端资源，数据不会传输到外部，适用于本地开发调试，离线环境验证。 SSE：支持远程访问，仅支持服务端到客户端的单向流，适用于服务推送等单向实时通信场景，延迟低、兼容性强。 Streamable HTTP：基于标准的HTTP协议，双向通信，可灵活切换流式、非流式连接，适合正式环境部署和跨网络通信（如混合云/跨VPC）以及分布式系统。这是目前官方推荐的远程通信方式。 后端服务： 使用已有服务：如果您的MCP服务已经通过控制台或SDK注册到MSE Nacos中，可直接选择。 新建服务：如果您的MCP服务尚未注册到MSE Nacos中，需要配置服务 IP/服务域名（域名不能包含中文）、服务端口及访问路径（必须以/开头，如/v1/mcp）。 5. MCP工具为选填项，工具可以包含0个或者多个。点击添加工具按钮，可以添加1个工具，包括工具名称、工具描述、参数信息。其中参数包括：参数名称、参数类型可从下拉框选择，参数描述信息。 参数可以添加0个或者多个，参数信息可以嵌套，可以实现复杂的嵌套参数。添加的参数在服务保存或发布后生效。 6. 信息填写完毕后，点击发布。

本文帮助您了解对象存储跨域访问设置的相关概念与配置流程。 跨域访问简介 跨域资源共享（CrossOrigin Resource Sharing，CORS）是HTML5提供的标准跨域解决方案。跨域访问，也叫JavaScript跨域访问，是浏览器出于安全考虑而设置的一个限制即同源策略（Same Origin Policy，SOP）。当来自于A网站的页面中的JavaScript代码希望访问B网站的时候，浏览器会拒绝该访问，因为A、B两个网站是属于不同的域，不同域之间的网站脚本和内容是无法进行交互的。 典型应用场景 只有在浏览器访问的情况下才会涉及CORS的使用，在使用客户端访问的时候无需担心出现跨域问题。ZOS提供HTML5协议中的跨域资源共享设置，帮助您实现跨域访问。 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方点击，选择地域，以下操作选择华东华东1。 3. 在控制台首页，选择“存储>对象存储”。 4. 在对象存储桶列表，单击Bucket名称进入“概览”页面。 5. 选择“权限管理”页面，找到“跨域设置”，点击“设置”按钮。 6. 在跨域设置页面点击“创建策略”。 7. 根据跨域规则参数配置说明完成跨域规则创建，并点击“确定”，完成创建。 跨域规则创建参数说明 参数 说明 :: 来源 指定允许的跨域请求的来源。配置规则如下：允许多条匹配规则，多条规则需换行填写。每行的域名或IP必须以 https:// 开头且不能以/结尾，支持通配符星号（ ），每行允许使用最多一个星号（ ），不支持输入空格和中文字符。若域名使用的不是默认端口，还需要携带端口号。例如： 域名配置示例如下： 匹配指定域名时，填写完整域名。例如： 匹配泛二级域名，可使用通配符星号（ ）。例如： .ctyun.cn。 匹配所有域名，可直接填写通配符星号（ ）。 允许Methods 指定允许的跨域请求方法。 允许Headers 指定允许跨域请求的响应头。配置规则如下：允许多条匹配规则，多条规则需换行填写。每条匹配规则最多使用一个星号（ ）通配符，不支持输入空格。建议没有特殊需求的情况下设置为星号（ ）。 暴露Headers 指定允许用户从应用程序中访问的响应头。例如一个Javascript的XMLHttpRequest对象。允许多条匹配规则，多条规则需换行填写。不支持使用星号（ ）通配符和输入空格。 暴露Headers配置值： ETag ContentType ContentLength CacheControl ContentDisposition ContentEncoding ContentLanguage Expires 缓存时间 指定浏览器对特定资源的预取（OPTIONS）请求返回结果的缓存时间。 说明 通过桶“概览”页面基础设置中的“跨域访问”，也可跳转至“权限管理”页面。

项目 描述 Server Name 服务器名称。 Server ID 服务器ID。 Node Name 节点名称。 Parent Node 父节点名称。 Description 服务器描述信息，如果没有描述信息，不显示。 Status 服务器状态： Connected：已连接。 Disconnected：未连接。 Removing：移除中。 Master Server 该服务器是否为Master节点： true：该服务器为Master节点。 false：该服务器不是Master节点。 Base Server 该服务器是否为基础节点： true：该服务器为基础节点。 false：该服务器不是基础节点。 Base Service 服务器上的基础服务（仅集群版支持），包括基础服务名称、状态及对应的数据目录。 Public Address 业务网的IP和端口号。 Cluster Address 集群网的IP。 Target portal IP and Port 目标门户和目标端口。 Recent Start Time HBlock服务在该节点上最近一次成功启动的时间。 ：表示HBlock服务处于停止状态。 Version HBlock版本号。 Parameters 服务器中HBlock可使用的内存信息： maxMemoryRatio：HBlock可使用的内存占用系统总内存的比例上限。 maxMemorySize：HBlock可使用的内存最大值，单位是bytes。 Disk Path(s) 数据目录信息： No.：编号。 Path：数据目录。单机版中，如果数据目录后有()，表示为HBlock服务器的默认数据目录。 Storage Pool：数据目录所属资源池。 Used Capacity：HBlock数据目录对应分区的已用容量。 Total Capacity：HBlock数据目录对应分区的总容量。 Used Capacity Quota：数据目录已用容量配额。 Capacity Quota：数据目录容量配额，当HBlock的使用空间一旦达到配额，就立刻阻止数据写入，不允许再使用超出配额的空间。 Health Status：数据目录的健康状态： Healthy：数据目录处于健康状态，可正常读写，且数据目录所在磁盘使用率未超过阈值（系统默认值为95%）。 Warning：数据目录处于警告状态，可读，但存在以下情况的任意一种：慢盘；数据目录所在磁盘使用率超过阈值（系统默认值为95%）；磁盘剩余空间不足1GiB；HBlock对这个目录停写；数据目录配额使用率超过阈值（系统默认值为95%）；数据目录配额为0。 Error：数据目录错误状态，无法访问，原因可能是：所在磁盘出现I/O错误导致无法读写，数据目录未正确挂载等。 Health Detail：数据目录健康状态详情。 如果健康状态为Healthy，此列为空。 如果健康状态为Warning或Error，显示警告或错误的详细信息。 Data Service：数据目录对应的ds进程（仅集群版支持）。 说明 数据目录加入存储池后才会展示ds进程。 Removing Details 移除服务器或者移除数据目录时，被移除数据目录的详细信息： No.：编号。 Path：具体数据目录。 Stage：移除数据目录所处的阶段： Reconfiguration：重置中。 CheckingData：检查数据。 Executing：执行移除数据目录。 Details：详细数据： FaultDomains：故障域详情，包括：healthy（健康个数），warning（告警个数），error（错误个数）。 Data：safe（安全数据百分比），await reconstruction（需要重建的数据百分比），await more faultdomains（需要额外故障域才能够重建的数据百分比），singlecopy（单副本数据百分比），corrupted（已经损坏的数据百分比）。

名称 类型 描述 path String HBlock数据目录。 totalCapacity Long 当前HBlock数据目录对应分区的总容量，单位是bytes。 usedCapacity Long 服务器上HBlock数据目录对应分区的已用容量，单位是bytes。 usedCapacityQuota Long HBlock在该数据目录的已写入量，即已用容量配额。单位是bytes。 capacityQuota Long 数据目录的容量配额。单位是bytes。 0表示禁止写入。不输出，表示没有限制。 managementStatus String 数据目录管理状态： Added：数据目录已添加至系统中。 Removing：数据目录正在移除中。 subStatus.stage String 移除数据目录所处的阶段： Reconfiguration：重置中。 CheckingData：检查数据。在该阶段，会同时显示下列字段的信息totalFD、healthyFD、warningFD、errorFD、safeData、reconstructionWaitData、availFDWaitData、singleCopyLUNData、corruptedData、具体告警信息（availFDWaitWarning、singleCopyLUNWarning或者corruptedWarning）。 Executing：执行移除数据目录 subStatus.totalFD Integer 总的故障域个数。 subStatus.healthyFD Integer 状态为Healthy的故障域个数。 subStatus.warningFD Integer 状态为Warning的故障域个数。 subStatus.errorFD Integer 状态为Error的故障域个数。 subStatus.safeData Double 安全数据百分比，单位是%。 subStatus.reconstructionWaitData Double 需要重建的数据百分比，单位是%。 subStatus.availFDWaitData Double 移除磁盘或者服务器时，数据重建需要的故障域个数不足，因此引发的无法重建的数据百分比。 subStatus.singleCopyLUNData Double 单副本数据百分比，单位是%。 subStatus.corruptedData Double 已经损坏的数据百分比，单位是%。 subStatus.availFDWaitWarning String 告警信息。 根据状态不同，显示的告警信息不同： availFDWaitWarning：移除磁盘或者服务器时，数据重建需要的故障域个数不足。 singleCopyLUNWarning：单副本卷数据所在磁盘或者服务器被移除。 corruptedWarning：故障域异常导致数据损坏。 subStatus.singleCopyLUNWarning String 告警信息。 根据状态不同，显示的告警信息不同： availFDWaitWarning：移除磁盘或者服务器时，数据重建需要的故障域个数不足。 singleCopyLUNWarning：单副本卷数据所在磁盘或者服务器被移除。 corruptedWarning：故障域异常导致数据损坏。 subStatus.corruptedWarning String 告警信息。 根据状态不同，显示的告警信息不同： availFDWaitWarning：移除磁盘或者服务器时，数据重建需要的故障域个数不足。 singleCopyLUNWarning：单副本卷数据所在磁盘或者服务器被移除。 corruptedWarning：故障域异常导致数据损坏。 healthStatus String 数据目录健康状态： Healthy：数据目录处于健康状态，可正常读写，且数据目录所在磁盘使用率未超过阈值（系统默认值为95%）。 Warning：数据目录处于警告状态，可读，但存在以下情况的任意一种：慢盘；数据目录所在磁盘使用率超过阈值（系统默认值为95%）；磁盘剩余空间不足1GiB；HBlock对这个目录停写；数据目录配额使用率超过阈值（系统默认值为95%）；数据目录配额为0。 Error：数据目录错误状态，无法访问，原因可能是：所在磁盘出现I/O错误导致无法读写，数据目录未正确挂载等。 healthDetail Array of string 数据目录健康状态详情： 如果健康状态为Healthy，此字段为空。 如果健康状态为Warning或Error，显示警告或错误的详细信息。 dsId String 数据目录对应的ds进程（仅集群版支持）。 说明 数据目录加入存储池后才会展示ds进程。

本文帮助您快速熟悉创建虚拟私有云的操作流程。 操作场景 虚拟私有云可以为您的弹性云主机构建隔离的、用户自主配置和管理的虚拟网络环境。 要拥有一个完整的虚拟私有云，第一步请参考本章节任务创建虚拟私有云的基本信息及默认子网；然后再根据您的实际网络需求，参考后续章节继续创建子网、申请弹性IP、安全组等网络资源。 操作步骤 1. 登录管理控制台。 2. 在系统首页，选择“网络 > 虚拟私有云”。 3. 单击“创建虚拟私有云”。进入“创建虚拟私有云”页面。 4. 在“创建虚拟私有云”页面，根据界面提示配置虚拟私有云参数。创建虚拟私有云时会同时创建一个默认子网，您还可以单击“添加子网”创建多个子网。 5. 检查当前配置，单击“立即创建”。 表 虚拟私有云参数说明 参数 说明 取值样例 区域 不同区域的资源之间内网不互通。请选择靠近您客户的区域，可以降低网络时延、提高访问速度。 名称 VPC名称。名称只能由中文、英文字母、数字、“”、“”和“.”组成，且不能有空格，长度不能大于64个字符。 VPCtest IPv4网段 VPC的地址范围，VPC内的子网地址必须在VPC的地址范围内。目前支持网段范围： 10.0.0.0/824 172.16.0.0/1224 192.168.0.0/1624未开启IPv4/IPv6双栈的区域显示参数“网段”，开启IPv4/IPv6双栈的区域显示参数“IPv4网段”。 192.168.0.0/16 高级配置 单击下拉箭头，可配置VPC的高级参数，包括标签等。 默认配置 标签 虚拟私有云的标识，包括键和值。可以为虚拟私有云创建10个标签。 键：vpckey1 值：vpc01 表 子网参数说明 参数 说明 取值样例 名称 子网的名称。名称只能由中文、英文字母、数字、“”、“”和“.”组成，且不能有空格，长度不能大于64个字符。 subnet01 子网IPv4网段 子网的地址范围，需要在VPC的地址范围内。 192.168.0.0/24 子网IPv6网段 选择是否勾选开启IPv6。开启IPv6功能后，将自动为子网分配IPv6网段，暂不支持自定义设置IPv6网段。该功能一旦开启，将不能关闭。 关联路由表 子网创建完成后默认关联默认路由表，您也可以通过子网的更换路由表操作，切换至自定义路由表。 默认 高级配置 单击下拉箭头，可配置子网的高级参数，包括网关、DNS服务器地址等。 默认配置 网关 子网的网关。通向其他子网的IP地址，用于实现与其他子网的通信。 192.168.0.1 DNS服务器地址 默认配置了2个DNS服务器地址，您可以根据需要修改。多个IP地址以英文逗号隔开。DNS服务器地址最多支持2个IP，请以英文逗号隔开。 100.125.x.x 标签 子网的标识，包括键和值。可以为子网创建10个标签。 l 键：subnetkey1l 值：subnet01

本文帮助您快速熟悉创建虚拟私有云的操作流程。 操作场景 虚拟私有云可以为您的弹性云主机构建隔离的、用户自主配置和管理的虚拟网络环境。 要拥有一个完整的虚拟私有云，第一步请参考本章节任务创建虚拟私有云的基本信息及默认子网；然后再根据您的实际网络需求，参考后续章节继续创建子网、申请弹性IP、安全组等网络资源。 操作步骤 1. 登录管理控制台。 2. 在系统首页，选择“网络 > 虚拟私有云”。 3. 单击“创建虚拟私有云”。进入“创建虚拟私有云”页面。 4. 在“创建虚拟私有云”页面，根据界面提示配置虚拟私有云参数。创建虚拟私有云时会同时创建一个默认子网，您还可以单击“添加子网”创建多个子网。 5. 检查当前配置，单击“立即创建”。 表 虚拟私有云参数说明 参数 说明 取值样例 区域 不同区域的资源之间内网不互通。请选择靠近您客户的区域，可以降低网络时延、提高访问速度。 名称 VPC名称。名称只能由中文、英文字母、数字、“”、“”和“.”组成，且不能有空格，长度不能大于64个字符。 VPCtest IPv4网段 VPC的地址范围，VPC内的子网地址必须在VPC的地址范围内。目前支持网段范围： 10.0.0.0/824 172.16.0.0/1224 192.168.0.0/1624未开启IPv4/IPv6双栈的区域显示参数“网段”，开启IPv4/IPv6双栈的区域显示参数“IPv4网段”。 192.168.0.0/16 高级配置 单击下拉箭头，可配置VPC的高级参数，包括标签等。 默认配置 标签 虚拟私有云的标识，包括键和值。可以为虚拟私有云创建10个标签。 键：vpckey1 值：vpc01 表 子网参数说明 参数 说明 取值样例 名称 子网的名称。名称只能由中文、英文字母、数字、“”、“”和“.”组成，且不能有空格，长度不能大于64个字符。 subnet01 子网IPv4网段 子网的地址范围，需要在VPC的地址范围内。 192.168.0.0/24 子网IPv6网段 选择是否勾选开启IPv6。开启IPv6功能后，将自动为子网分配IPv6网段，暂不支持自定义设置IPv6网段。 该功能一旦开启，将不能关闭。 关联路由表 子网创建完成后默认关联默认路由表，您也可以通过子网的更换路由表操作，切换至自定义路由表。 默认 高级配置 单击下拉箭头，可配置子网的高级参数，包括网关、DNS服务器地址等。 默认配置 网关 子网的网关。通向其他子网的IP地址，用于实现与其他子网的通信。 192.168.0.1 DNS服务器地址 默认配置了2个DNS服务器地址，您可以根据需要修改。多个IP地址以英文逗号隔开。 DNS服务器地址最多支持2个IP，请以英文逗号隔开。 100.125.x.x 标签 子网的标识，包括键和值。可以为子网创建10个标签。 键：subnetkey1 值：subnet01

本节介绍了Windows外部镜像文件在导出前未完成初始化配置的解决办法。 外部镜像文件在从原平台导出前，没有按照准备镜像文件（Windows）中的Windows操作系统的镜像文件限制表的要求完成初始化操作，推荐您使用弹性云主机完成相关配置。流程如下图所示。 注意： 云主机的正常运行依赖于XEN Guest OS driver（PV driver）和KVM Guest OS driver（UVP VMTools），未安装会对云主机运行时的性能产生影响，云主机的部分功能会有缺失。请确保外部镜像文件在从原平台导出前，已安装这些驱动，否则云主机因启动不成功而无法进行任何配置。 安装UVP VMTools，请参考安装UVPVMTools。 安装PV driver，请参考安装PVdriver。 创建过程 步骤1：上传镜像文件 上传外部镜像文件到OBS个人桶中，请参考上传镜像文件（Windows）。 步骤2：注册镜像 通过管理控制台选择上传的镜像文件，并将镜像文件注册为未初始化的私有镜像。请参考注册镜像（Windows）。 步骤3：创建云主机 1. 登录管理控制台。 2. 选择“计算 > 镜像服务”。 进入镜像服务页面。 3. 单击“私有镜像”页签进入私有镜像列表。 4. 在未初始化的私有镜像所在行，单击“操作”列的“申请主机”。 5. 根据界面提示完成云主机的创建。需要关注以下几点： − 创建云主机过程中需要绑定弹性公网IP，以便您能上传相关安装包或者在云主机内部直接下载安装包。 − 需要在云主机所属安全组中添加对应的入方向规则，确保可以从外部访问该云主机。 − 如果在镜像文件系统中已经安装并配置了CloudbaseInit工具，请按照界面提示设置密码方式登录云主机。如果未安装，请使用镜像文件中包含的密码或证书登录。 详细操作请参见《弹性云主机用户指南》。 6. 执行以下步骤检查云主机，验证私有镜像是否可用。 a. 如果云主机启动成功，证明外部镜像文件已安装Guest OS driver，或者云平台的自动化配置功能已为您自动安装该驱动。否，请您在原平台安装Guest OS driver后，再重新创建私有镜像。 b. 如果能够使用用户设置的密码/密钥登录云主机，证明已安装CloudbaseInit工具。否，请使用原始密码/密钥登录云主机，再请参考安装并配置CloudbaseInit工具安装CloudbaseInit。 c. 请参考步骤4：配置云主机中的第2步检查网卡属性是否为DHCP方式。 d. 使用MSTSC工具远程登录成功，证明云主机的远程桌面配置正常。否，请参考步骤4：配置云主机中的第3步配置远程桌面。 如果满足以上条件，则私有镜像可用，请直接参考清理环境（可选）清理环境。

本章节主要介绍翼MapReduce运行Hue任务。 前提条件 1. 使用Hue WebUI编辑器前，请前往翼MR Manager集群服务Hue连接器管理页面，选择需要启用的连接器，启用成功后，请在页面右上角的运维操作中重启Hue集群服务。重启后，即可前往Hue WebUI页面进行使用。 2. 当前版本支持使用LDAP账号访问Hue。若使用admin、hdfs或hive等已有权限的用户登录Hue，无需进行Ranger授权，可以跳过此步骤；如果新建LDAP用户，需要通过Ranger授予Hive与HDFS权限，操作步骤如下： 1）前往翼MR Manager集群服务中点击Ranger插件启用启用Hive与HDFS，并重启Hive与HDFS服务； 2）登录Ranger WebUI界面给需要登录的用户授权HADOOP SQL/HDFS等权限。 注意 如果没有给登录用户授权，查询hive可能报错Error， Permission denied: usertest, accessWRITE等问题。 3. 修改coresite.xml文件，为Hue用户配置代理权限。在HDFS配置管理中修改coresite.xml文件配置，新增 hadoop.proxyuser.hue.hosts与hadoop.proxyuser.hue.groups配置项，配置值可按需设置为，保存并同步配置后，请重启HDFS与Hivehiveserver2。 注意 如果没有为Hue用户配置代理权限，可能会报错Failed to validate proxy privilege of hue for test(登录用户)。 4. 若通过公网访问Hue WebUI，需保障网络畅通，您可前往控制台节点管理，为Hue所在的master节点绑定弹性IP，为安全组配置入方向访问规则后，点击访问链接与端口页面中的链接，前往Hue WebUI页面。 5. Hue通过JDBC连接Trino 查询引擎。Trino支持多个Catalog（如 hive、mysql等），但Hue默认连接Trino自带system的系统Catalog ，仅用于监控和元数据查询，无法访问Hive表等业务数据。如何查询Hive或其他业务数据？您有两种方式： 方式一：修改Hue默认连接的Catalog（推荐） 编辑Hue配置文件hue.ini，将Trino URL中的system替换为您实际使用的Catalog名称（例如hive） plaintext [[[trino]]] nameTrino JDBC interfacejdbc options'{"url":"jdbc:trino://yourtrinohost:9808/hive", "driver": "io.trino.jdbc.TrinoDriver", "user": "trino", "passwordscript": "/path/to/passwordscript.sh"}' 保存后重启Hue，即可在查询编辑器中直接使用SQL plaintext SELECT FROM default.users 方式二：在SQL中显式指定Catalog（无需改配置） 即使默认Catalog是system，您仍可通过完整表名查询任意Catalog中的数据。 使用SQL查询Hive 中的表 plaintext SELECT FROM hive.default.users 注意 请确保Trino服务端已正确配置对应的Catalog（如 hive.properties）。

本文介绍如何配置防火墙防护策略，包括配置入侵防御模式和配置访问控制策略。 云防火墙提供基础防御功能，可以针对访问流量进行检测与防护，覆盖多种常见的网络攻击，有效保护您的资产。 访问控制策略默认状态为放行，通过配置合适的策略调整防护能力，实现更有效的精细化管控，防止内部威胁扩散，增加安全战略纵深。 配置入侵防御模式操作步骤 在左侧导航栏中，选择“攻击防御 > 入侵防御” 。 功能名称 功能说明 :: 防护模式 观察模式：仅对攻击事件进行检测并记录到日志中。 拦截模式：在发生明确攻击类型的事件和检测到异常IP访问时，将实施自动拦截操作。 拦截模式宽松：防护粒度较粗。拦截可信度高且威胁程度高的攻击事件。 拦截模式中等：防护粒度中等。满足大多数场景下的防护需求。 拦截模式严格：防护粒度精细，全量拦截攻击请求。建议您等待业务运行一段时间后，根据防护效果配置误报屏蔽规则，再开启“严格”模式。 说明 选择防护模式后，可对基础防御规则库的单条防御规则进行修改。具体操作请参见修改基础防御规则动作。 基础防御 为您的资产提供基础的防护能力，默认为“开启”状态。防御功能包括： 检查威胁及漏洞扫描。 检测流量中是否含有网络钓鱼、特洛伊木马、蠕虫、黑客工具、间谍软件、密码攻击、漏洞攻击、SQL注入攻击、XSS跨站脚本攻击、Web攻击。 是否存在协议异常、缓冲区溢出、访问控制、可疑DNS活动及其他可疑行为。 虚拟补丁 在网络层级为IPS提供热补丁，实时拦截高危漏洞的远程攻击行为，同时避免修复漏洞时造成业务中断。 高级 敏感目录扫描防御 防御对用户主机敏感目录的扫描攻击。 “动作”： 观察模式：发现敏感目录扫描攻击后，CFW仅记录攻击日志，查看攻击日志请参见日志查询。 拦截Session：发现敏感目录扫描攻击后，拦截当次会话。 拦截IP：发现敏感目录扫描攻击后，CFW会阻断该攻击IP一段时间。 “持续时长”：“动作”选择“拦截IP”时，可设置阻断时间，范围为60~3600s。 “阈值”：对于单个敏感目录扫描频率达到设定的阈值后，CFW会采取相应“动作”。 高级 反弹Shell检测防御 防御网络上通过反弹shell方式进行的网络攻击。 “动作” ： 观察模式：发现反弹shell攻击后，仅记录攻击日志，查看攻击日志请参见日志查询。 拦截Session：发现反弹shell攻击后，拦截当次会话。 拦截IP：发现反弹shell攻击后，CFW会阻断该攻击IP一段时间。 “持续时长”：“动作”选择“拦截IP”时，可设置阻断时间，范围为60~3600s。 “模式 ”： 低误报：防护粒度较粗。观察或拦截频次较高的攻击，用于确保攻击处理没有误报。 高检测：防护粒度精细，确保攻击能够被发现并处理。

编辑告警 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“威胁管理 > 告警管理”，进入告警管理页面。 5. 在告警管理列表中，单击目标告警所在行“操作”列的“编辑”，右侧弹出编辑告警页面。 6. 在弹出的编辑告警页面中，编辑告警参数，参数说明如下表所示。 参数名称 参数说明 基础信息 告警名称 自定义告警名称，命名规则如下： 可输入中文字符、英文大写字母（A～Z）、英文小写字母（a～z）、数字（0～9）和特殊字符（ ()）。 长度不能超过2550个字符。 基础信息 告警类型 选择告警类型。 基础信息 告警等级 选择告警严重等级，可选择以下等级：提示、低危、中危、高危、致命。 基础信息 状态 选择告警状态，告警状态用于标识告警跟踪的状态。可选择以下状态：打开、阻塞、关闭。 打开：未处理且需要继续跟踪关注的告警，建议配置为“打开”状态。 阻塞：跟踪的告警因某些原因暂时无法处置需要挂起的建议配置为“阻塞”状态。 关闭：已经处置完毕且不需要继续跟踪的告警建议配置为“关闭”状态。 基础信息 （可选）责任人 选择告警跟踪或处置的主要责任人。 基础信息 数据源产品名称 选择数据源产品的名称，不支持修改。 基础信息 数据源类型 选择数据源所属类型，不支持修改。 时间线 首次发生时间 该条告警首次发生时间。 时间线 最近发生时间 该条告警最近一次发生的具体时间。 时间线 计划关闭时间 选择告警计划关闭时间。 处置建议 推荐处理方法 告警的推荐处置方法描述。 其他 标签 填写告警的标签。 其他 调试数据 选择是否开启模拟调试功能，不支持修改。 其他 （可选）验证状态 选择告警的确认状态，标识告警攻击的状态，确认是否造成实际的负面影响。可选择以下状态：未知、攻击成功、攻击失败。 未知：无法确认告警是否带来实质的攻击。 攻击成功：确认该告警已经攻击成功。 攻击失败：确认该告警已经攻击失败。 可疑：该告警存在可疑的攻击行为，如攻击尝试。 白名单：确认无攻击行为的主机告警。 非攻击信息：非恶意攻击，如系统脆弱性告警，风险账号、弱口令等。 其他 阶段 选择您的告警阶段。 准备：准备资源处理告警。 检测与分析：检测与分析告警发生原因。 控制、清除、恢复：进行告警问题处理。 告警后活动：告警处理完成后的后续活动。 其他 描述 填写告警描述信息，填写规则如下： 可输入中文字符、英文大写字母（A～Z）、英文小写字母（a～z）、数字（0～9）和特殊字符（ ()）。 长度不能超过10240个字符。 7. 单击“确认”，完成告警编辑。配置完成后，在左侧导航栏选择“威胁管理> 告警管理”，进入告警管理页面查看告警信息。