网络管理 集群安全组规则配置 如何修复出现故障的容器网卡？ 为什么容器无法连接互联网？

防护模块配置 WAF支持多种威胁防护模块，防护模块概述如下： 防护模块 说明 默认规则 配置建议 Web应用基础防护 覆盖OWASP中的常见的攻击类型，通过内置规则库进行安全防护。 用户可选择系统默认规格的规则库，也可自定义防护规则库，实现针对性防护。 可开启/关闭，默认处于开启状态。 包括系统默认规则组（正常/宽松/严格）以及用户自定义规则组。默认选择正常规则组。 可根据不同的防护需求选择不同的防护等级： 正常规则组为考虑漏保和误报均衡结果的规则组，一般业务防护建议选择正常规则组。 宽松规则组提供精准的攻击检测策略，仅会对较为明确的攻击进行防护。 严格规则组提供全面的安全演策，会阻断所有可能为攻击的行为。 CC攻击防护 CC攻击（Challenge Collapsar）是DDoS的一种，攻击者通过代理服务器向受害主机不停发送大量数据包，造成Web业务服务器的资源耗尽，从而无法响应其他正常访问请求的一种攻击行为。CC攻击防护可以通过对Web业务请求的安全验证，防护网络攻击者对业务服务器发起的CC攻击。 可开启/关闭，默认处于关闭状态。 系统提供两种默认防护级别，无需用户设置防护规则实现快速配置。为了避免误杀，用户也可自定义CC防护规则，限制单个访问者对命中特定匹配条件的访问频率，WAF会根据配置的规则，精准识别CC攻击，并做出拦截、人机验证等动作处理。 当网站服务器资源有限，且存在被CC攻击的情况下建议开启。 开启后可能会影响业务的正常访问流程，建议选择人机验证，从而保证业务的可用性。 精准访问控制 用户可根据客户端IP、请求URL、以及常见的请求头字段定义访问请求的精确匹配条件，以进行过滤，并对命中条件的请求设置放行、拦截、观察或人机验证等操作。 可开启/关闭，默认处于关闭状态。 当业务出现明确需要保护的地址，例如用户名或密码保存的文件路径、以及管理员访问路径，可进行精准访问控制。 IP黑白名单设置 自定义添加IP黑白名单规则，阻断、放行指定IP的访问请求。 白名单优先级高于黑名单优先级，即当会话命中白名单后会被直接放行，不再进行后续的安全检测。 可开启/关闭，默认处于关闭状态。 黑白名单通常与其他防护模块并行使用，通过设置黑白名单，放行安全的访问请求，阻断恶意的访问请求。 BOT防护 WAF提供若干个已知的公开BOT类型，用户可分别设置相应的防护动作。 支持公开类型和自定义会话策略两大类防护策略。同时，用户可自定义防护策略，根据协议特征或者其他会话特征设置判定维度，对命中的请求进行相应的处理。 可开启/关闭，默认处于关闭状态。 BOT防护主要用于防止其他网站对业务网站信息的爬取，当有相关需要时，可以开启该模块。 地域访问控制 通过配置地域访问控制规则，可针对指定国家、地区的来源IP自定义访问控制。 可开启/关闭，默认处于关闭状态。 地域访问控制可以通过拒绝部分地域的访问，例如境外地址的访问，从而阻断掉可能来源于境外的攻击。 防敏感信息泄露 支持对网站返回的内容进行过滤（拦截、脱敏展示），过滤内容包括敏感信息、关键字和响应码。 可开启/关闭，默认处于关闭状态。 当网站返回信息中包括敏感信息时，通过设置防敏感信息泄露规则，可以过滤网站返回内容中的敏感信息（比如身份证号、电话号码等），对敏感信息进行脱敏展示，可以有效防止敏感泄露。 网页防篡改 通过缓存页面和锁定访问请求，可避免页面被恶意篡改而带来的负面影响，对重点静态页面进行保护。 可开启/关闭，默认处于关闭状态。 网页防篡改主要用于防护一些重点的静态页面。 Cookie防篡改 通过对Cookie中的字段增加完整性校验保护，WAF会新增一个Cookie字段用于篡改校验。 可开启/关闭，默认处于关闭状态。 Cookie防篡改主要用于防护Cookie变化较少、对安全性要求较高的网页。 隐私屏蔽 通过设置隐私屏蔽规则，可屏蔽用户隐私信息，避免用户隐私信息出现在系统记录的日志中。 可开启/关闭，默认处于关闭状态。 隐私屏蔽规则主要是屏蔽WAF系统日志中的用户隐私信息，可以从安全运维侧规避用户的隐私泄露风险。

本章节介绍Eureka引擎的常见问题 如何解决Eureka连接失败问题？ 问题现象 使用Eureka客户端连接Eureka服务端时，报错Cannot execute request on any known server，如下图所示。 或是报错There is no known eureka server; cluster server list is empty，如下图所示。 问题原因 Eureka客户端无法连通任意您指定的Eureka服务端地址，或是您指定的Eureka服务端地址配置不符合标准格式。 解决方案 请检查您在客户端配置中指定的eureka.client.serviceurl.defaultZone配置项，确保所填写的服务端地址正确且在客户端侧能够telnet通。格式需为 如何诊断注册到Eureka服务的健康状态？ 注册到Eureka的服务有时可能会因为宕机或者网络原因而无法继续提供服务，Eureka提供了健康检测机制来保证消费者不会调用到不健康的服务。 您也可以在Eureka实例控制台服务管理服务列表，选择服务，点击详情按钮，查看当前服务实例的实时健康状态。当服务实例出现不健康的情况时，Eureka服务端会定期对其进行驱逐。若此类情况发生，请检查您服务的真实状态。 如何查看Eureka开源控制台UI？ 默认不支持查看您实例的Eureka开源控制台UI，您可以通过我们提供的Eureka实例控制台对Eureka的基本信息进行查询，并进行相关管理端操作，功能更加全面。 如何解决Eureka服务消费者获取不到服务提供者地址的问题？

生效条件 当WAF独享引擎实例的“健康检查结果”为“正常”时，说明弹性负载均衡配置成功。 步骤三：为弹性负载均衡绑定弹性公网IP WAF独享引擎实例配置负载均衡后，您还需要解绑源站服务器的弹性公网IP（Elastic IP，简称EIP），将解绑的弹性公网IP绑定到WAF独享引擎实例，见本章节的步骤二：配置负载均衡 。绑定后，请求流量会先经过WAF独享引擎进行攻击检测，然后转发到源站服务器，从而确保源站安全、稳定、可用。 前提条件 已为WAF独享引擎实例配置负载均衡，见本章节的步骤二：配置负载均衡 。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台右上角，选择区域。 步骤 3 单击页面左上方，选择“网络 > 弹性负载均衡”，进入“负载均衡器”页面。 步骤 4 在“负载均衡器”页面，解绑源站服务器的弹性公网IP。 解绑IPv4公网IP，在目标源站的负载均衡器所在行“操作”列，选择“更多> 解绑IPv4公网IP”。 解绑IPv6公网IP，在目标源站的负载均衡器所在行“操作”列，选择“更多> 解绑IPv6公网IP”。 步骤 5 在弹出的对话框中，单击“是”，解绑EIP。 步骤 6 在“负载均衡器”页面，找到WAF独享引擎的ELB的负载均衡器，绑定源站服务器的弹性公网IP。 绑定IPv4公网IP，在WAF独享引擎的ELB的负载均衡器所在行“操作”列，选择“更多> 绑定IPv4公网IP”。 绑定IPv6公网IP，在WAF独享引擎的ELB的负载均衡器所在行“操作”列，选择“更多> 绑定IPv6公网IP”。 步骤 7 在“绑定弹性公网IP”对话框中，选择步骤4中解绑的EIP，单击“确定”，绑定EIP。

接入配置流程 在WAF控制台添加需要防护的网站域名后，通过修改域名的DNS解析设置，将网站流量解析到WAF，使访问网站的流量经过WAF并受到WAF的防护。WAF将过滤和处理后的请求转发回该域名的源站服务器。 1. 添加域名 ：配置域名、协议、源站等相关信息，配置流程详见添加域名。 注意 如果在添加域名配置时，提示添加域名重复无法添加，建议您检查是否已在当前账号或其他账号的WAF实例中添加过相同的域名，如果确实存在，您需要删除造成冲突的域名配置记录后再进行添加。 2. 放行WAF回源IP段 ：WAF使用特定的回源IP段将经过防护引擎检测后的正常流量转发回网站域名的源站服务器。网站接入WAF进行防护时，您需要设置源站服务器的安全软件或访问控制策略，放行WAF回源IP段的入方向流量。配置流程详见放行WAF回源IP段。 3. 本地验证 ：添加域名后，在本地电脑上搭建简易的模拟环境，验证网站流量转发设置已经生效，避免转发设置未生效时修改域名的DNS解析设置，导致业务访问异常。配置流程详见本地验证。 4. 修改域名DNS ：若域名在接入WAF前未使用代理，则需要到该域名的DNS服务商处，修改域名的DNS解析配置，将网站的流量解析到WAF；若域名在接入WAF前使用了代理（DDoS高防、CDN等），则需要将使用的代理类服务（DDoS高防、CDN等）的回源地址修改为的目标域名的“CNAME”值。配置流程详见修改域名DNS。

本节介绍ETCD 备份用户指南。 前提条件 1. 已完成集群注册，具体操作请参见 本地注册集群 / 三方云注册集群。 2. 集群已安装ccsebackup插件，具体操作请参考 插件。 操作步骤 新增备份配置 1. 登陆分布式容器云平台，在左侧导航栏中选择集群资源 > 集群管理，进入注册集群列表页。 2. 在注册集群列表中点击需要备份的集群，进入单集群管理页面。 3. 在单集群管理页面导航栏中选择运维管理 > ETCD备份 > 新增备份 ，进入ETCD备份配置页面。 1. 填写配置项后，点击“确定”下发备份任务。 备份配置项说明： 配置项名称 说明 备份名称 必填，备份任务的名称，名称限制为由小写字母开头，只允许小写字母，数字和‘’组成，且备份任务是当前集群中唯一。 备份策略 必填，可选项立即备份与定时备份两种： 立即备份：在任务创建后马上执行备份，备份任务完结后生成备份包。 定时备份：按任务配置的执行策略周期性执行备份任务，每次任务执行完后按照设置的保留天数来清理超出保留天数的备份包。 定时备份配置项说明： 配置名称 说明 执行策略 必填，定义定时备份执行时间点的cron表达式。也可以界面的选框来辅助表达式编写。 保留天数 必填，定时任务执行后生成的备份包的保留天数。超出保留天数备份包会被清理。

操作场景 用户订购了组网方案为“互联网直连”的智能网关，在激活智能网关实例后，需要为智能网关实例设置角色，以便后续配置直连组网。 前提条件 您已经订购了组网方案为“互联网直连”类型的智能网关，且完成了激活操作，即该智能网关实例的业务状态为“已激活”。 操作步骤 1. 登录控制中心； 2. 在控制中心页面左上角点击，选择区域，本节我们选择华东1； 3. 依次选择“网络”，单击“天翼云SDWAN”；进入天翼云SDWAN总览页面； 4. 选择“智能网关”，单击目标智能网关实例“操作”列的“更多角色配置”，进入角色配置页面； 5. 根据页面提示，选择当前设备的角色，并根据实际网络连接情况为端口绑定公网IP； 6. 单击“确定”，完成对当前智能网关实例的角色配置； 7. 完成角色配置后，您可以进一步进入智能网关实例的详情页面配置BGP路由，在BGP路由配置之前，您仍然可以修改当前智能网关实例的角色配置。

本小节介绍SSL VPN的应用场景。 企业核心业务安全接入场景 存在问题： 业务系统身份认证方式易被仿造；权限限制不明确，容易被黑客发起跳板攻击；访问业务系统时，终端同时访问互联网，引发泄密问题。 解决方案： 多种认证组合方式，增加身份验证的安全性。 严格限定系统访问权限；使用SSL VPN专线功能，访问内部业务时，同一个终端无法访问互联网，避免泄密事件发生及黑客利用。 第三方用户安全接入场景 存在问题： 接入终端系统、浏览器版本多样及安全状态不可控，除运维人员外，接入用户IT水平普遍不高。 解决方案： 提供更简单的VPN安装、使用环境；对接入终端进行严格安全检查，保证终端的合法合规性；业务系统统一发布、统一运维。 移动办公 存在问题： 出差和在家接入公司业务办公，网络安全状态不受控，数据传输容易被监听。 解决方案： 增加终端用户认证复杂度；严格限定系统访问权限；对接入终端进行严格安全检查；业务系统统一发布、统一运维。

高级设置 启停处理 启动执行：用于指定容器在启动时执行的命令和参数。虽然启动执行里有添加命令和添加参数两个按钮，但是我们可以只是用添加命令、或者只使用添加参数、或者两者同时使用，其达到的效果是完全一致的 启动后处理：配置容器在启动完成后执行的命令。用法上和上面的启动执行完全一致 停止前处理：配置容器在停止前执行的命令。用法上和上面的启动执行完全一致 容器健康检查 容器的健康检查支持就绪检查和存活检查两种，建议给容器都配上这两种健康检查方式 就绪检查：会检查容器是否处于ready状态，不就绪则停止转发流量到当前实例 存活检查：检查容器是否正常，不正常则重启实例 三种健康检查方式的公共参数解释： 目前支持三种健康检查方式： Http方式：需要填写端口、协议、请求路径等参数，然后kubelet 会向容器内运行的程序发送一个 HTTP GET 请求来执行探测。如果容器的处理程序返回成功码，则kubelet认为容器是存活/就绪的。如果处理程序返回失败码，则kubelet会杀死这个容器并且重新启动它/认为它没有就绪 Tcp方式：需要填写主机、端口等参数，然后kubelet 会尝试在指定端口和容器建立套接字链接。如果能建立链接，这个容器就被看作是健康的/就绪的，如果不能则这个容器就被看作是有问题的/没有就绪的 命令方式：需要添加命令，然后kubelet 在容器中执行该命令来进行检测。如果命令执行成功并且返回值为0，kubelet会认为这个容器是健康存活的/就绪的。如果这个命令返回非 0 值，kubelet 会杀死这个容器并重新启动它/认为它没有就绪

本小节介绍在Linux主机上安装PAM并设置口令复杂度策略。 安装PAM 如果当前系统中未安装PAM（Pluggable Authentication Modules），就无法为系统提供口令复杂度策略检测功能。 若云服务器的操作系统为Debian或Ubuntu，请以管理员用户在命令行终端执行命令aptget install libpamcracklib进行安装。 CentOS、Fedora、EulerOS系统默认安装了PAM并默认启动。 设置口令复杂度策略 为了确保系统的安全性，建议设置的口令复杂度策略为：口令最小长度不小于8，至少包含大写字母、小写字母、数字和特殊字符中的三种。 以下配置为基础的安全要求，如需其他更多的安全配置，请执行以下命令获取Linux帮助信息。 基于Red Hat 7.0的CentOS、Fedora、EulerOS系统 man pampwquality 其他Linux系统 man pamcracklib CentOS、Fedora、EulerOS操作系统 执行以下命令，编辑文件“/etc/pam.d/systemauth”。 vi/etc/pam.d/systemauth。 注意 “dcredit”、“ucredit”、“lcredit”、“ocredit”中至少有三个需要配置为负数。 参数说明 参数 说明 示例 minlen 口令最小长度配置项。 PAM默认使用了“credits”，因此最小口令长度需要加1，若需要设置最小口令长度为8，则minlen的值应该设置为9。 minlen9 dcredit 口令数字要求的配置项。 值为负数N时表示至少有N个数字，值为正数时对数字个数没有限制。 dcredit1 ucredit 口令大写字母要求的配置项。 值为负数N时表示至少有N个大写字母，值为正数时对大写字母个数没有限制。 ucredit1 lcredit 口令小写字母要求的配置项。 值为负数N时表示至少有N个小写字母，值为正数时对小写字母个数没有限制。 lcredit1 ocredit 特殊字符要求的配置项。 值为负数N时表示至少有N个特殊字符，值为正数时对特殊字符个数没有限制。 ocredit1

本章节主要介绍ALM16003 Background线程使用率超过阈值的告警。 告警解释 系统每30秒周期性检测Background线程使用率情况，默认阈值为90%。如果Hive使用的background线程池使用率超过阈值，则发出告警。 说明 MRS 3.X支持Hive多实例，若集群启用了多实例功能且安装了多个Hive服务，请根据“定位信息”的“服务名”值来确定具体产生告警的Hive服务。例如Hive1服务不可用，则“定位信息”中显示服务名Hive1，处理步骤中的操作对象也应由Hive调整为Hive1。 告警属性 告警ID 告警级别 是否自动清除 16003 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 Trigger condition 系统当前指标取值满足自定义的告警设置条件。 对系统的影响 后台Background线程数过多，导致新提交的任务无法及时运行。 可能原因 Hive后台的background线程池使用率过大。 HiveServer后台的background线程池执行的任务过多。 HiveServer后台的background线程池的容量过小。 处理步骤 检查HiveServer background线程池执行任务数量 1.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > Hive > 具体的HiveServer实例 ”，找到“Background线程数”与“Background线程使用率”监控信息。 2.在Background线程数监控中，线程数目最近半小时时间内是否有异常偏高（默认队列数值为100，偏高数值>90）。 是，执行步骤3。 否，执行步骤5。 3.调整提交到background线程池的任务数（比如，取消一些后台性能低，耗时长的任务）。 4.“Background线程数”和“Background线程数使用率”是否下降。 是，执行步骤7。 否，执行步骤5。

相关操作 端口地址簿在防护规则里设置后才会生效，添加防护规则请参见： 配置互联网边界防护规则：配置入向/出向规则 配置VPC边界防护规则：配置内网互访规则

本文为您详细介绍Llama 2Chinese13BChat模型。 模型简介 Llama2Chinese13BChat模型是针对Llama 2进行中文对话优化的微调参数模型，它基于Meta发布的Llama 2 Chat开源模型进行进一步训练。由于Llama2模型在原始状态下对中文的支持相对较弱，开发者特别采用了一套中文指令集来进行微调，以增强其处理中文对话的能力。目前，这个中文微调参数模型提供了7B和13B两种不同规模的参数大小版本。 使用场景 基于中文指令数据集对Llama2Chat模型进行了微调，使得Llama2Chinese13BChat具备更强的中文对话能力。 评测效果 从通用知识、语言理解、创作能力、逻辑推理等不同方面提问大模型，均取得不错的效果。 技术亮点 模型的开源内容包含可商用的中文版Llama 2模型以及中英文SFT（Supervised FineTuning，监督微调）数据集。这些输入数据的格式严格遵循Llama2Chat的既定规范，确保了与所有针对原版Llama2Chat模型进行的优化措施的高度兼容性和适配性。 免责声明 Llama2Chinese13BChat模型来源于第三方，本平台不保证其合规性，请您在使用前慎重考虑，确保合法合规使用并遵守第三方的要求。

误报如何处理 1. 登录边缘安全加速控制台。 2. 在左侧导航栏，选择运营管理>日志服务>网站风险日志。 3. 在风险列表【操作】中，单击【标记为误报】按钮。 4. 如果需要后续该任务不再对风险URL进行扫描，您可以单击【加入白名单】按钮。

服务类型 备案网站个数 价格 首次备案 1个 600元 新增互联网信息服务 1个 600元 接入备案 1个 600元 变更备案 1个 600元

本节介绍了云数据库GaussDB 的标签功能。 操作场景 标签管理服务（Tag Management Service，TMS）用于用户在云平台，通过统一的标签管理各种资源。TMS服务与各服务共同实现标签管理能力，TMS提供全局标签管理能力，各服务维护自身标签管理 。 建议您先在TMS系统中设置预定义标签。 标签由“键”和“值”组成，每个标签中的一个“键”只能对应一个“值”。 每个实例最多支持20个标签配额。 添加标签 步骤 1 登录管理控制台。 步骤 2 在“实例管理”页面，选择指定的实例，单击实例名称，进入实例的“基本信息”页签。 步骤 3 在左侧导航栏，单击“标签”，单击“添加标签”，在“添加标签”弹出框中，输入标签的键和值，单击“确定”。 标签的键不能为空且必须唯一，长度为1~36个字符，只能包含字母、数字、中划线、下划线和@符号。 标签的值可以为空字符串，长度为0~43个字符，只能包含字母、数字、中划线、下划线、 英文句点和@符号。 步骤 4 添加成功后，您可在当前实例的所有关联的标签集合中，查询并管理自己的标签。 编辑标签 步骤 1 登录管理控制台。 步骤 2 在“实例管理”页面，选择指定的实例，单击实例名称。 步骤 3 在左侧导航栏，单击“标签”，选择需要编辑的标签，单击“编辑”。 步骤 4 在“编辑标签”弹出框中修改标签值，单击“确定”。 编辑标签时，不能修改标签的键，只能修改标签的值。 标签的值可以为空字符串，长度为0~43个字符，只能包含字母、数字、中划线、下划线、英文句点和@符号。 步骤 5 编辑成功后，您可在当前实例的所有关联的标签集合中，查询并管理自己的标签。

步骤二：首次镜像配置—配置私有引导镜像 1. 在服务列表选择“计算”“镜像服务”，进入“++镜像服务控制台++”。 2. 按照“流程引导”进行相关步骤操作：开通对象存储并创建桶、上传镜像文件（该步骤可忽略，多活容灾侧已提供镜像文件）、导入镜像。 3. 在创建私有镜像页面，镜像源选择“镜像文件”，Linux系统操作系统恢复引导镜像为LiveCD.qcow2（可参考++镜像文件地址++），操作系统固定选择Centos7.3版本。 步骤三：备份服务器配置 1. 在服务列表选择“计算”“多活容灾服务”，进入++多活容灾服务控制台++。 2. 创建命名空间：点击左侧菜单栏 “命名空间”，进入命名空间页面。点击右上角“创建命名空间”按钮，进入创建命名空间页面。选择容灾形态为“异地主备”，生产中心和容灾中心为资源池A和资源池B。 3. 纳管资源：点击左侧菜单栏“资源管理”“云主机”，进入云主机列表页，选择上步创建的命名空间。点击“同步天翼云云主机”按钮，选择分区后 ，选择需要同步的备份服务器，同步至多活容灾服务平台。 4. 安装客户端：点击操作列“安装客户端”按钮，完成drnode一键安装。该安装步骤包括创建VPCE、修改hosts文件、下载drnode安装包、配置网络参数等操作。 5. 开启数据保护：点击操作列“开启数据保护”按钮，页面分为基础配置、节点角色配置、确认配置三部分。在基础配置部分，填写用户名、密码、认证码后，点击“认证”按钮进行节点认证，填写其他内容后，点击“下一步：角色配置”；在角色配置部分，选择节点角色为备份客户端、备份服务器、FFO/CDM整机客户端。具体操作可参考：[++开启数据保护++](

本节介绍智能语音交互的产品优势。 优良的处理效果 采用大量、多主题的数据进行模型训练，使得能力具备良好的使用效果。 快速响应 配备高配处理硬件，可对用户请求快速响应，提高用户使用体验。 接口易用 标准化接口封装，通过云服务调用可快速使用工具，大大降低开发人力成本。 服务质量稳定 依托天翼云平台，提供稳定高质的服务品质。

监控Agent简介 通过在主机上安装云监控Agent，为您提供主机的系统监控、进程监控等服务。 系统要求 目前只支持Linux操作系统和Windows操作系统。支持的系统如下： 操作系统 版本 Linux 天翼云提供的公共Linux镜像均支持 Windows 天翼云提供的公共Windows镜像均支持 在部分区域，对于使用标准公共版本镜像的服务器，可以在云主机详情页监控 单击“一键安装监控Agent”来实现一键安装新的监控。 安装位置 监控Agent在云主机上的安装位置如下： Linux：/usr/bin/telegraf Windows：C:Program Filesctyuntelegraftelegraf 端口说明 云主机监控Agent通过TCP协议访问远程服务器的 10063和10064 端口， 用于心跳检测与监控数据上报，以及用于查看配置和更改日志级别等。 性能说明 资源 性能说明 CPU 当监控插件稳定运行时，一般CPU的消耗小于1% 内存 当监控插件稳定运行时，一般内存的占用小于64M 插件安装包 64M 支持安装监控Agent的地区及Agent安装包下载路径 地区名称 Agent安装包下载路径 华北2 Linux： Windows： 西南2 Linux： Windows： 青岛20 Linux： Windows： 上海15 Linux： Windows： 南昌5 Linux： Windows： 华南2 Linux： Windows： 广州6 Linux： Windows： 西南1 Linux： Windows： 芜湖4 Linux： Windows： 贵阳42 Linux： Windows： 沈阳8 Linux： Windows： 杭州7 Linux： Windows： 北京9 Linux： Windows： 西安7 Linux： Windows： 西安5 Linux： Windows： 太原4 Linux： Windows： 郑州5 Linux： Windows： 常州69 Linux： Windows： 上海32 Linux： Windows： 武汉41 Linux： Windows： 华东1 Linux： Windows： 南宁23 Linux： Windows： 上海36 Linux： Windows： 上海7 Linux： Windows： 内蒙6 Linux： Windows： 北京5 Linux： Windows： 九江 Linux： Windows： 拉萨3 Linux： Windows： 杭州2 Linux： Windows： 长沙42 Linux： Windows： 中卫5 Linux： Windows： 石家庄20 Linux： Windows： 南京5 Linux： Windows： 晋中 Linux： Windows： 贵州3 Linux： Windows： 辽阳1 Linux： Windows： 福州25 Linux： Windows： 合肥2 Linux： Windows： 注意 除以上地区外，若需要下载监控Agent安装包，请参考云监控Agent管理。

接口功能介绍 此接口提供查询用户集群节点组详情功能，系统接收用户输入的查询条件，返回符合条件的集群节点组信息。 接口约束 只允许查询处于运行中状态的集群的节点组详情。 URI POST /v2/emr/openapi/cluster/nodeGroup/getGroupAndHostByCondition 路径参数 无 Query参数 无 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 clusterId 是 String 集群id bdbbc8cc1288a78e5851839dc26f58b9 nodeState 否 Integer 主机状态（1:启动中,2:正在关机,4:已删除,8:运行中,9:已关机） 1 selectKey 否 String 模糊查询参数，可以通过节点名称、内网IP、外网IP进行模糊查询 10.0.0.2 响应参数 参数 参数类型 说明 示例 下级对象 statusCode Integer 状态码，成功：200，失败：500 200 message String 用来简述当前接口调用状态以及必要提示信息 请求成功 error String 错误码，请求成功时，不返回该字段 EMR400000 returnObj Object 返回结果 表 returnObj 参数 参数类型 说明 示例 下级对象 id String 节点组id 175187849787779 clusterId String 集群id da595eb1d81503b323fdc01d9bf786b7 payType Integer 付费类型 1 nodeGroupType String 节点类型code码 MASTER nodeGroupName String 节点类型code值 master imageId String 镜像id f8d28855ffda426d96e20f6bf46877e0 hostNum Integer 主机数量 3 computeSpecificationId Integer 主机规格id 101 iaasVmSpecCode String IAAS虚机规格编码 s7.2xlarge.4 cpuNum Integer cpu核数集群列表 8 memory Integer 内存大小 32 diskSpecificationList String 磁盘规格列表 [{diskFunctionType:1,diskFunctionName:系统盘,diskType:cloud,diskTypeName:云硬盘,ioType:SSDgenric,ioTypeName:通用型SSD,volume:200,diskNum:1}] createTime Integer 创建时间 1706515356000 updateTime Integer 更新时间 1706515356000 mountPublicIp Boolean 是否挂载公网 false iaasVmSpecId String IAAS虚机规格id b307034dcbc327bb24f7a97565814236 highest Boolean 节点组规格是否最高 false regionId String 资源池id bb9fdb42056f11eda1610242ac110002 availableZoneId String 可用区id cnhuadong1jsnj1Apublicctcloud vpcId String vpc id vpcfr2xjo1gj0 clusterHostDtoList Array of Objects 集群节点组列表 clusterHostDtoList 表 clusterHostDtoList 参数 参数类型 说明 示例 下级对象 id String 主键id 0088babec7bab47b20409df6646db856 nodeGroupId String 节点组id 1753298494213554178 iaasHostId String 平台主机id b2f2377d3f0bbc74b9c567bb557b0e63 hostName String 主机名称 bigdataemrvml7zb3wnk manageIp String 管理IP 10.2.3.0 serviceIp String 内网IP 192.168.0.149 publicIp String 公网IP 212.168.0.150 ipv6ServiceIp String ipv6内网ip 240e:982:db0f:6c00:d1ea:8588:69fa:96 ipv6PublicIp String ipv6公网ip 240e:982:db0f:6c00:d1ea:8588:69fa:97 state Integer 机器状态枚举(创建主机时机器状态，非即时状态） 8 vpcId String vpc id vpcfr2xjo1gj0 subnetId String 子网id subnetvkixrw8xw7 regionId String 资源池id bb9fdb42056f11eda1610242ac110002 availableZoneId String 可用区id cnhuadong1jsnj1Apublicctcloud eipId String 弹性IP id eipsssww bandwidthId String 绑定ipv6的带宽id bandwidthfnzgeac441 jobId String 开机jobId compute8d9eabb589a544debeae583bf624f6d5 masterOrderId String IT的主订单id b8d68f4c36734227ac4c8fb7bba58ae9 iaasMasterOrderId String IAAS的主订单id INT022024091218592892305018 paasResourceId String 订单来源 6276b490c2504f4ba90e90e857b043e4 isDeleted Integer 判断是否删除了当前节点（发生撤单时会删除该节点）(0:未删除,1:已删除) 0 createTime Integer 创建时间 1706515356000 updateTime Integer 更新时间 1706515356000 isDoctorAgent Boolean 是否安装Doctor插件 False hostStateValue String 机器状态 运行中 deployRoleInstance Array of Strings 部署角色实例 [ "NodeMaster" ]

背景说明 支持实时监测应用程序的文件外发行为，助力事后溯源取证。 注意 客户端版本：支持Windows客户端，需为2.25.10及以上客户端。 套餐版本：已订购终端管理企业版套餐。 操作步骤 1. 登录边缘安全加速控制台，选择【终端管理】。 2. 在左侧导航栏展开数据安全并点击【文件外发审计】，查看外发审计策略和审计日志相关内容。 外发审计策略 1. 外发审计策略列表主要展示已配置的审计策略详情，含策略名称、管控范围、外发通道、管控动作、管控事件、策略状态、编辑/新增时间等字段信息，支持通过 “策略名称、管控动作、策略状态、时间范围” 搜素或筛选已有的审计策略。 2. 支持对审计策略做 “详情、编辑、删除” 操作。 新增策略 1. 点击【新增策略】支持添加外发审计策略。 1. 当前仅支持针对 AI 应用客户端进行文件外发审计：Kimi 智能助手、AnythingLLM、豆包、腾讯元宝、Cici、智谱清言、Poe、讯飞星火、问小白、夸克、纳米 AI、Cursor、Chatbox、Canva、Cherry Studio、ima.copilot、Trae、通义、办公小浣熊、Windsurf、Warp、JoyCode、墨刀、讯飞绘文、讯飞文书、新华妙笔。 审计日志 1. 外发审计策略下发后，如客户端命中策略，则对应日志会上报到管理平台。 1. 点击【详情】查看日志详情信息。

参数说明 功能 说明 URL刷新 输入需要刷新的完整URL，每个URL要以 目录刷新 输入需要刷新的目录，目录要以 每条目录一行（回车换行），请注意区分URL中的字母的大小写，错误的大小写会导致刷新无效。 正则刷新 输入需要刷新的正则URL，每个URL均为域名+正则路径，域名要以 注意事项 节点的缓存不定时更新，当您的源站内容更新后，需要用户获取到最新的资源，可以通过提交刷新任务实现。 大批量的刷新推送可能会引发高并发回源，如果源站出口带宽较小，建议分多次小批量操作。 域名默认不区分协议缓存，目录推送需统一提交http协议目录才能生效；如域名配置区分协议缓存，需按实际刷新需求分别提交目录刷新。 刷新额度限制： URL刷新：10000条/日/每账号。 目录刷新：100条/日/每账号。 正则刷新：10条/日/每账号（单域名最高限额10条/日）。 说明 为防止资源滥用，天翼云边缘安全加速平台—安全与加速服务限定了各服务资源的额定用量，如果当前用量无法满足使用需要，请

本文介绍标签和标签组的含义，如何创建标签和标签组，如何删除标签和标签组。 功能介绍 边缘安全加速平台控制台上提供了一种域名分类管理工具——标签和标签组，使用标签可以对具有相同属性的域名进行分类管理，使用标签组可以对具有相同类别属性的标签进行分类管理。 配置说明 例如：您有很多业务系统（CRM、ERP、DMS等），每个业务系统又包含多个域名，就可以借助标签组和标签对这些域名进行分组管理。即创建一个名为Businesssystem的标签组，同时创建三个名为CRM、ERP、DMS的标签。 创建标签和标签组的操作步骤 1. 登录边缘安全加速控制台。 2. 单击左侧导航【域名】【标签管理】。 3. 在【标签管理】页面，单击右上角的【新增标签】。 4. 在弹窗界面，输入标签组名，如“Businesssystem”。输入“Businesssystem”完成后，需要单击下方显示的“Businesssystem”完成标签组名创建。 5. 在弹窗界面，输入标签名，多个标签名用;分隔，如“”。 6. 确认无误后，单击【确定】提交，完成名为“Businesssystem”的标签组和名为“CRM、ERP、DMS”的标签创建。 参数名 配置值 说明 标签组名 只能输入，英文字母和数字，不允许为空。 标签组，即一组具有相同类别属性标签的统称，在配置关系里面，它是一类标签的集合。 标签名 只能输入，英文字母和数字，多个值用;分隔，不允许为空。 标签，即一组具有相同属性的域名的统称，在配置关系里面，它是一类域名的集合。

天翼云VPN连接(Virtual Private Network)是一款基于Internet的网络连接服务,通过互联网加密通道的方式实现企业数据中心、企业办公网络、客户终端与客户云上专有网络建立安全可靠的连接。

天翼云VPN连接(Virtual Private Network)是一款基于Internet的网络连接服务,通过互联网加密通道的方式实现企业数据中心、企业办公网络、客户终端与客户云上专有网络建立安全可靠的连接。

本节介绍集群备份用户指南。 前提条件 1. 已完成集群注册，具体操作请参见 本地注册集群 / 三方云注册集群。 2. 集群已安装ccsebackup插件，具体操作请参考 插件。 操作步骤 下发备份任务 1. 登陆分布式容器云平台，在左侧导航栏中选择集群资源 > 集群管理，进入注册集群列表页。 2. 在注册集群列表中点击需要备份的集群，进入单集群管理页面。 3. 在单集群管理页面导航栏中选择运维管理 > 集群备份 > 新增备份 ，进入集群备份配置页面。 4. 填写配置项后，点击“确定”下发备份任务。 备份配置项说明： 配置项名称 说明 名称 必填，备份任务的名称，名称限制为由小写字母开头，只允许小写字母，数字和‘’组成，且备份任务是当前集群中唯一 命名空间 非必填，选择备份资源的命名空间，可多选 资源 非必填，选择所备份资源的类型，可多选，也可以手动输入 持久卷 选择是否备份pod所使用的持久卷，备份内容中有pod资源，此项才生效。不能备份临时卷及hostPath 备份任务下发后，在备份列表中可查看备份任务的执行状态，及备份完成后备份包的大小。 备份列表的操作列还包含以下三个操作： 还原：把当前备份包还原到当前集群中。 下载：下载当前备份任务的备份包。 删除：删除当前备份任务。

安全合规与数据保护 在医疗、金融等相关领域，使用Agent处理敏感数据时，Agent沙箱可以作为一种数据不落地或数据隔离的手段。 私有数据处理：企业使用Agent处理包含客户个人信息（PII，即个人身份信息）或商业机密的Excel表格，Agent启动一个临时的、内存级的沙箱环境。数据在沙箱中被解密和处理，处理完成后，沙箱被销毁。这样可以确保临时文件不会残留在物理磁盘上，降低数据泄露风险。 联邦学习与隐私计算：多个团队需要联合训练AI模型，但不能直接共享私密数据；涉密数据在本地沙箱中进行预处理和训练，只将脱敏后的梯度或参数上传到中央服务器，原始数据始终锁在沙箱的安全边界内。 自动化测试与持续集成/持续部署 构建智能化软件开发和运维CICD系统，在相关场景可以使用智能体引擎平台的安全沙箱辅助测试： 依赖项安全扫描：CI/CD拉取新的开源库后，可在沙箱执行安全扫描；在一个临时沙箱中安装该依赖，并监控其安装后的脚本行为（例如，是否有恶意软件在安装时执行挖矿程序或尝试读取/etc/passwd）。 兼容性测试：在沙箱里快速拉起多个不同版本的浏览器环境，并行运行测试脚本，确保页面渲染正常且无崩溃

3. 如何查看缓存命中情况 说明 缓存命中属于“尽力而为”的底层优化机制，系统为每个会话维持保留缓存的时间是有限的，如果调用时间过长，或超出了系统承载能力，缓存将被释放。 您可以通过以下两种方式查看您的缓存命中数据： 方式一：通过平台“调用监控”查看 在模型推理服务“调用监控服务详情”页面。在调用Token量图表筛选条件中选择“按Token用量付费”“缓存命中”，即可直观地按时段查看缓存命中的Token量。 方式二：通过 API 返回的 usage 字段实时查看 在模型服务调用返回的信息中，usage字段会透出本次请求Token的消耗明细： plaintext { "code": 0, "id": "chatcmpl17746032558594390000da17b1bf", "choices": [], "created": 1774603256, "model": "DeepSeekV3.2", "object": "chat.completion.chunk", "usage": { "completiontokens": 200, "prompttokens": 414, "totaltokens": 614, "prompttokensdetails": { "cachedtokens": 256 } } } 计费说明 关于支持缓存命中的模型，Input (输入) Token 的计费将被自动拆分为两部分： 未命中缓存：按照模型输入单价的标准价格进行计费。 命中缓存：按照模型“缓存命中”的输入价格进行计费。 Output (输出) Token：无论是否命中缓存，输出部分的计费标准保持不变。 注意 缓存命中价格全天时段统一，不参与优惠时段（00:0008:00）折扣。

异常返回 异常返回时： http code 返回非200。 http body 中返回 error 结构，error结构中包含code、type、message、param等信息，具体可见OpenAPI接口文档中的error结构描述及错误码部分介绍。 错误结果示例 python { "error" : { "code" : "500001", "type" : "INVOKEMODELERROR", "message" : "服务接口异常，请联系管理员" } } 请求示例代码 html 假设慧聚平台用户组AppKey884c8fc4054548a7b1ca1123592f5b7，模型ID96dcaaaaaaaaaaaa5ff55ea377831a，以此为例进行说明。 curl方式请求 python curl request POST url header 'Accept: /' header 'AcceptEncoding: gzip, deflate, br' header 'Authorization: Bearer 884c8fc4054548a7b1ca1123592f5b7' header 'ContentType: application/json' data '{ "model": "4b38a36cabe247c8a996206984c9e2a61", "input" : "A cute baby sea otter" }' python方式请求 python import json import requests URL " headers { "Authorization": "Bearer 884c8fc4054548a7b1ca1123592f5b7", "ContentType": "application/json" } data { "model": "4b38a36cabe247c8a996206984c9e2a61", "input" : "A cute baby sea otter" } try: response requests.post(URL, headersheaders, jsondata) if response.statuscode ! 200: print(response.json()) else: embeddings response.json()["data"][0]["embeddings"] except Exception as e: print(f"Exception: {e}") openai 客户端示例代码 python import openai from openai import OpenAI client OpenAI(baseurl" apikey"884c8fc4054548a7b1ca1123592f5b7") try: response client.embeddings( model"4b38a36cabe247c8a996206984c9e2a61", input"A cute baby sea otter", ) print(f"{response}") except openai.APIStatusError as e: print(f"APIStatusError: {e.statuscode}, {e.message}, {e.body}") except openai.APIError as e: print(f"APIError: {e.body}") except Exception as e: print(f"Exception: {e}")

场景架构图 零信任存储防护体系 场景说明 HBlock 通过 iSCSI target 白名单、CHAP 认证与 QoS 流控三重防护，实现端到端的零信任存储访问体系。基于卷级粒度严格校验客户端 IQN 身份，确保未授权主机完全不可见；采用CHAP 认证进行连接握手，有效防御伪造身份和中间人攻击；结合 QoS 策略，以 IOPS/带宽双维度动态调控，实现异常流量实时阻断。最终达成存储性能零干扰、数据与流量安全隔离、关键业务持续稳定的三重保障。 产品优势 卷数据安全管理，实现不同业务卷数据隔离。 target访问控制结合CHAP，双重认证，更有安全保障。 权限配置灵活，支持通过IP地址和名称进行设置，支持在客户端和目标端进行多维度权限管控。 流量分类、策略联动和资源优化提升整体性能与安全性。 建议搭配产品 物理机 场景架构图 关键数据永久独立备份 场景说明 HBlock采用快照技术实现全量/增量备份，数据与生产系统隔离存储。支持将导出的备份文件存放在不同的存储介质，数据与平台解耦。即使遭遇系统瘫痪或勒索攻击，仍可精准恢复卷数据。适用于金融、医疗等行业，满足关键业务数据零丢失、长期归档与合规要求。

应用接入 支持Web应用以及微信、支付宝及字节小程序等平台的数据上报。支持 NPM、CDN 方式快速接入，仅需对业务代码做极少量修改，接入流程轻便灵活。接入步骤请参考应用接入文档。 页面性能采集 前端监控采集多个页面性能数据，其中包括首屏耗时、首次渲染耗时、首次可交互耗时、DNS查询耗时、TCP 连接耗时、请求响应耗时、资源加载耗时、小程序启动耗时等，全部性能指标可参考应用性能指标文档。 错误诊断 支持查看前端应用的 JS 报错情况，包括错误总览、高频错误、错误详情以及各个维度的分布统计等，帮助您快速定位错误位置。具体请查看错误诊断操作指南文档。 页面访问 支持查看前端页面访问明细，包括PV（页面访问量）和 UV（页面独立访问量），支持各个维度的分布统计，实时了解并分析用户访问情况。具体请查看访问明细操作指南文档。 静态资源监控 支持查看前端应用的静态资源请求统计情况，您可以某个页面下具体使用了哪些资源，包括资源请求耗时、资源请求Top视图、资源请求失败Top视图及各个维度的分布统计等。具体请查看静态资源操作指南文档。

本文介绍通过OpenClaw集成企业微信。 概述 OpenClaw（原Clawdbot）是一款开源的本地优先AI 代理与自动化平台。您可以通过OpenClaw将多渠道通信能力与大语言模型深度集成，创建拥有持久记忆与主动执行能力的定制化 AI 助理。本文介绍通过OpenClaw集成企业微信。 重要：OpenClaw 为开源 AI 助手，请在使用前充分评估其安全性与稳定性并严格遵循许可协议，以切实保障您的系统环境与数据安全。 1. 请避免在 OpenClaw 中绑定生产级敏感账号。如需使用 API 服务，建议使用受限的 API Key 或临时 Token，并建立定期轮换机制，以降低密钥泄露带来的风险。 2. 建议优先使用天翼云官方提供的skills与插件，避免安装来源不明的第三方技能，防止恶意代码注入。 3. 请通过密码或 Token 对 OpenClaw 服务进行访问授权，严格限制访问 IP 范围，避免公网暴露，拦截非授权访问请求。 4. 建议启用详细的日志记录与行为监控，对操作行为和数据处理过程进行持续审计，及时发现并处置异常行为。 步骤一：部署OpenClaw 1. 在应用托管部署OpenClaw，详见 通过应用托管部署OpenClaw 。 步骤二：集成企业微信 说明：应用托管的OpenClaw应用最新版本默认已内置企业微信插件，无需额外安装。