接口描述 用于检测输入图像中的人脸年龄、性别、是否戴口罩、是否戴眼镜四个属性。 请求方法 POST 接口要求 图片大小限制：图片单张大小小于2MB。 图片格式限制：图片格式支持jpg/jpeg/png/bmp格式。 URI /v1/aiop/api/2f6hw5o5t7gg/face/PERSON/person/detectAgeGenderFromBase64 请求参数 1.请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String json格式 application/json appkey 是 String 平台应用appkey 562b89493b1a40e1b97ea05e50dd8170 ctyuneoprequestid 是 String 用户请求 id，由用户构造，用户可以通过 uuid 等方法自行生成唯一字符串，用于日志请求追踪。 详见文档：Python3调用示例 33dfa732b27b464fb15a21ed6845afd5 eopdate 是 String 请求时间，由用户构造，形如 yyyymmddTHHMMSSZ。 详见文档：Python3调用示例 20211221T163014Z host 是 String 终端节点域名，固定字段 aiglobal.ctapi.ctyun.cn EopAuthorization 是 String 由天翼云官网 accessKey 和 securityKey 经签名后生成，参与签名生成的字段包括天翼云官网 accessKey 、securityKey、平台应用的appkey（非必须），用户请求id（非必须），请求时间，终端节点域名（非必须）以及请求体内容。 签名逻辑详见文档：认证鉴权和Python3调用示例

本章节主要介绍如何快速创建ClickHouse集群。 本章节为您介绍如何快速创建一个ClickHouse集群，ClickHouse是一个用于联机分析的列式数据库管理系统，具有极致压缩率和极速查询性能。被广泛的应用于互联网广告、App和Web流量、电信、金融、物联网等众多领域。 ClickHouse集群包含的组件： MRS 3.1.0版本：ClickHouse 21.3.4.25、ZooKeeper 3.5.6。 CPU架构为鲲鹏计算的ClickHouse集群表引擎不支持使用HDFS和Kafka。 快速创建ClickHouse集群 1.登录MRS管理控制台。 2.单击“创建集群”，进入“创建集群”页面。 3.在创建集群页面，选择“快速创建”页签。 4.参考下列参数说明配置集群基本信息，参数详细信息请参考创建自定义集群。 区域：默认即可。 集群名称：可以设置为系统默认名称，但为了区分和记忆，建议带上项目拼音缩写或者日期等。例如：“mrs20201121”。 版本类型：默认选择普通版（不同版本提供的组件有所不同，请根据需要选择版本类型）。 集群版本：默认选择最新版本即可（不同版本集群提供的组件有所不同，请根据需要选择集群版本）。 组件选择：选择“ClickHouse集群”。 可用区：默认即可。 虚拟私有云：默认即可。如果没有虚拟私有云，请单击“查看虚拟私有云”进入虚拟私有云，创建一个新的虚拟私有云。 子网：默认即可。 CPU架构：默认即可。 集群节点：请根据自身需要选择集群节点规格数量等。MRS 3.x及之后版本集群Master节点规格不能小于64GB。 用户名：默认为“root/admin”，root用于远程登录ECS机器，admin用于登录集群管理页面。 密码：设置root用户和admin用户密码。 确认密码：再次输入设置的root用户和admin用户密码。 5.勾选“确认授权”开通通信安全授权，通信安全授权详情请参考授权安全通信。 6.单击“立即申请”。 当集群开启Kerberos认证时，需要确认是否需要开启Kerberos认证，若确认开启请单击“继续”，若无需开启Kerberos认证请单击“返回”关闭Kerberos认证后再创建集群。 7.单击“返回集群列表”，可以查看到集群创建的状态。单击“访问集群”，可以查看集群详情。 集群创建的状态过程请参见 集群概览章节查看集群状态部分 集群列表参数中的“状态”参数说明。 集群创建需要时间，所创集群的初始状态为“启动中”，创建成功后状态更新为“运行中”，请您耐心等待。 MRS系统界面支持同一时间并发创建10个集群，且最多支持管理100个集群。

天翼云CDN加速，依托强大的自主研发实力，攻克精准调度、智能缓存、高效传输等重点难点技术，并凭借丰富的海内外资源，为用户提供极致的加速体验，并帮助客户有效应对业务突发。本文是关于天翼云CDN加速产品优势的简介。 天翼云CDN加速，主要有如下8大产品优势，帮助客户更好地实现网站内容分发加速。 丰富的资源覆盖 全球战略，大网优质节点，可根据客户需求弹性扩容，轻松应对客户业务突发。 中国内地拥有2000+节点，覆盖多运营商和31个省份区域，大量节点位于省会及一二线主要城市。 海外、中国香港、中国澳门和中国台湾拥有800+节点，遍布亚洲、美洲、欧洲、非洲等大洲主要国家和城市。 全网业务承载能力达160Tbps。 具体节点分布，详情请见：节点分布。 优质的网络质量 拥有电信运营商优质的网络优势，可充分保障网络质量的稳定性。 全面的产品能力 功能全面丰富，可满足客户各类加速场景。 功能类别 主要功能模块 域名管理 批量配置域名、域名操作日志、标签管理、基础配置、回源配置、HTTPS/HTTP2.0配置、HTTP3.0配置、缓存配置、访问控制、文件处理、视频相关、业务告警、云备源、CDN镜像源、防攻击处理预案说明、图片内容审核增值服务等。 证书管理 新增证书、查看证书、删除证书、替换过期证书。 数据分析 用量分析（带宽流量、请求数、状态码、浏览量/访问量（PV/UV）、命中率）、热门分析（热门URL、热门URL回源、热门Referer、域名排行、TOP客户端IP）、用户分析（访问用户区域分布、用户所在区域的带宽排序、独立IP访问数、访问运营商分布）。 刷新预取 URL刷新、目录刷新、正则刷新、URL预取。 日志下载 离线日志下载。 可编程CDN UDFScript用户自定义脚本：自定义LUA脚本，实现标准化配置无法满足的个性化需求。 BosonFaaS边缘函数：自定义JavaScript代码，秒级一键部署到天翼云全球2000多个边缘节点上，就近生成千人千面的个性化响应结果。 CDN权限管理 为企业内部的员工设置不同的访问权限。 同时，天翼云CDN还开放了丰富的API接口供客户调用，助力客户实现深度集成。详情请见：API概览。

检测与修复建议 天翼云企业主机安全服务对该漏洞的便捷检测与修复。 1. 检测并查看漏洞详情，如下图所示，详细的操作步骤请参见漏洞管理。 手动检测漏洞 2. 进行漏洞的修复与验证，详细的操作步骤请参见漏洞管理。 其他防护建议 若您暂时无法进行升级操作，也可以采用以下方式进行防护： 方式一：使用以下命令禁用credential helper git config unset credential.helper git config global unset credential.helper git config system unset credential.helper 方式二：提高警惕避免恶意URL 1. 使用git clone时，检查URL的主机名和用户名中是否存在编码的换行符（%0a）或者凭据协议注入的证据（例如：hostgithub.com）。 2. 避免将子模块与不受信任的仓库一起使用（不使用clone recursesubmodules；只有在检查gitmodules中找到url之后，才使用git submodule update）。 3. 请勿对不受信任的URL执行git clone。

应用快、免安装 纯SaaS服务，无需安装任何软硬件，成本低 724小时全天候服务，按需购买，即买即用，无部署无需改变网络结构，无需占用机房或办公空间 资源广布，全网服务 支持多点检测，覆盖全国多地区、三大运营商线路 支持检测挂马、篡改、敏感内容、平稳度、域名解析、黑链等事件，并可以在用户门户上做可视化呈现 支持扫描 WASC 25 种 Web应用漏洞，全面覆盖 OWASP Top 10 Web应用风险 全流程管理，用户友好 多功能体系化产品，发现问题后能联动WAF进行风险处理 无需处理软硬件故障、升级等问题，完全托管，无需亲自运维 可视化看板、报表和态势跟踪全方位辅助业务数据跟踪，更好地进行业务管理 高效率，高专业度 分钟级实时监测能力，最高监测频率可达2min/次 漏洞扫描结果经安全专家验证，进一步保证结果可信

本节介绍了DDoS高防（边缘云版）如何配置CC防护功能。 使用场景 CC攻击（Challenge Collapsar）是DDoS（分布式拒绝服务）的一种。CC攻击是目前应用层攻击的主要手段之一，借助代理服务器生成指向目标系统的合法请求，如模拟多个正常用户不停地访问需要大量数据操作的动态页面，造成服务器资源的浪费，CPU长时间处于满载，网络拥塞，正常访问被中止。CC防护根据访问者的URL，频率、行为等访问特征，智能识别CC攻击，迅速识别CC攻击并进行拦截，在大规模CC攻击时可以避免源站资源耗尽，保证企业网站的正常访问。 前提条件 已开通DDoS高防（边缘云版）。 域名状态为“已启用”。 使用说明 1.登录DDoS高防（边缘云版）控制台。 2.进入【业务接入】【域名接入】页面。 3.选择需要配置的域名，在操作栏点击【防护配置】按钮，进入【CC防护配置】页面。 4.CC防护配置项说明： 配置项 说明 防护开关 控制CC防护功能是否生效。 防护模式 阈值：域名访问达到防护条件时进行防护校验。 永久：域名每次访问都进行防护校验。 检测条件 设置检测条件，当触发检测条件后，对请求进行防护。该配置在阈值模式下才可进行配置。 防护时长 达到检测条件后持续对应时间内都进行防护校验。该配置在阈值模式下才可进行配置。 跨域请求防护 若您所防护的域名存在跨域访问场景（即被其他域名网站引用访问），建议关闭跨域请求防护，以免被CC防护算法拦截。 5.完成配置点击右上角【保存】按钮。

云防火墙授权时，显示授权信息失败？ 请等待15分种，超过15分钟仍未显示获取授权，需联系客服人员进行调整。 云堡垒机无法进行SSO单点跳转？ 请按照登录运维，进行插件下载安装。 云堡垒机进行扩容，出现异常？ 云堡垒机的云主机附加磁盘后，如未看到系统存储空间扩容，请重启云主机后再查看。 云堡垒机的密码更换时间较短？ 云堡垒机更换密码较短，让用户登录系统管理员登录云堡垒机，然后在【策略】→【密码策略】进行策略调整，设置密码更换天数 终端安全EDR安装客户端失败问题？ 请进入内网地址（ 终端安全EDR无法联网 在云防火墙添加终端安全EDR允许访问互联网的应用控制策略及源地址转换策略，详情请参考映射端口。 微隔离策略不生效的问题 请按如下检查，如果仍然不生效，请联系服务提供商处理。 微隔离功能不支持终端操作系统为Windows XP或Windows Server 2003，如果终端操作系统是上述版本，则微隔离不生效。 打开终端安全EDR管理平台“微隔离/微隔离策略”，检查“微隔离生效开关”是否启用状态，如下图。

本文介绍如何使用telnet命令检测Redis端口连通性 ECS实例中已经安装了Telnet（Linux）或开启了Telnet客户端（Windows）。如果Redis服务出现了连接问题，并且参见上述问题中如何检测弹性云主机与Redis之间的网络连接。发现连接成功时，您需要进一步使用telnet命令检测服务端口是否可用。 查看Redis实例的连接地址，详情请参见查看连接地址。 登录ECS实例，执行telnet命令。 telnet {IP} {Redis PORT} 说明 windows系统和Linux系统中都可以使用该命令。 返回信息分析： 如果Redis连接存在问题，但可以在ECS上使用telnet连接到Redis实例，则ECS本身与Redis之间的连接无异常，请排查其它因素，例如客户端、业务代码，以及业务环境导致的Redis服务阻塞等问题。 如果telnet连接失败，但使用ping命令检测ECS与Redis之间的连接成功，可能是由于ECS存在异常行为（例如受恶意程序影响而攻击其它Redis的33016端口等）被系统禁止了部分服务，此时建议您监控ECS的数据找到异常流量并加以处理。

迁移谷歌云平台服务器，选择是否禁用部分服务？ 源端为谷歌云平台Linux系统服务器，启动迁移Agent时，出现如下图所示提示，需要您选择是否禁用相关服务。 背景 因部分谷歌云服务依赖于谷歌云平台，迁移到天翼云后，无法正常运行，导致服务器在启动阶段卡住或其它服务无法正常启动。因此，在迁移前请您阅读禁用详情，并根据业务需求，评估是否需要禁用部分谷歌服务。 说明： 禁用不会对源端服务器产生影响，只在迁移配置目的端阶段，对目的端服务器进行配置操作。 如果您的业务需求依赖于谷歌云平台服务，请咨询天翼云技术支持后再进行迁移。 选择禁用，请输入“y”，在Agent配置目的端阶段，系统会禁用谷歌相关服务。 选择不禁用，请输入“n”，在SMSAgent的安装目录：.../SMSAgent/agent/config/gproperty.cfg文件中修改 disableplatformservice参数为False。迁移后会保留所有服务设置，可能会导致服务器或部分服务启动失败等问题。 禁用详情 以 /etc/systemd/system目录下服务为开机服务的主机（如：Ubuntu，Centos8，Centos9）。选择禁用，只会删除 /etc/systemd/system目录下google服务相关的软链接，软链接指向的源端服务文件不受影响。删除服务软连接并不会影响服务实际的文件，只是被删除的服务不会在开机时自启动。 以 /etc/init目录下服务为开机服务的主机（如：Centos6）。选择禁用，Agent会检测 /etc/init目录下google开头的配置文件，将这些配置文件移动到 /etc/backupgoogleconf, 并创建备份压缩文件 googleconfbak.tar.gz。

本文为您介绍如何使用CMS对不同账号的CTECS资源或同账户下不同区域的CTECS资源进行迁移。 介绍说明 当需要把不同天翼云账号下的主机资源整合到一个天翼云账号下, 或者将同账户不同区域的CTECS资源整合到同一个区域下时，可以采用主机迁移服务实现CTECS实例间的快速迁移。主机迁移服务支持同一区域或者不同区域的源端到目的端的迁移，下面为您介绍天翼云CTECS实例间的实现逻辑和操作步骤。 实现逻辑 CMS基础实现逻辑是在目标端部署PE轻量系统，在CMS控制台处进行任务配置与下发，通过协同CMSAgent与CMSPE实现迁移； 仅需通过确定PE轻量系统开通的账户与区域，即可限定迁移目标端的账户与区域。需要注意迁移过程中需要保证账户余额充足与目标区域已加载迁移专用镜像，未加载镜像区域不支持CMS迁移服务。 操作步骤 跨账号CTECS迁移（账户A迁移至B账户） 1. 在A账户下的ECS云主机下，使用B账户的云迁移服务AK/SK安装CMSAgent。具体步骤请参见在源端安装Agent。 2. A账户主机即会被上报至B账户迁移平台，接下来可以进行迁移目标机设置。具体步骤请参见创建目标机，检测目标机和绑定目标机。 3. 绑定成功后可以配置并启动迁移任务。具体步骤请参见迁移任务配置与开始全量迁移。 4. 迁移任务配置完成后，单击“开始迁移”正常执行后续迁移操作，即可实现ECS云主机跨账户迁移。

本章介绍Windows内核特权提升漏洞。 Windows内核处理内存中对象的方式中存在特权提升漏洞，成功利用此漏洞的攻击者可能会利用提升的特权执行代码。 为了利用此漏洞，在本地经过身份验证的攻击者可能会运行经特殊设计应用程序。 漏洞编号 CVE20201027 漏洞名称 Windows内核特权提升漏洞 漏洞描述 Windows内核处理内存中对象的方式中存在特权提升漏洞，成功利用此漏洞的攻击者可能会利用提升的特权执行代码。 影响范围 所有Windows系统 官方解决方案 官方建议受影响的用户尽快安装最新的漏洞补丁。 详情请参见< 检测与修复建议 天翼云企业主机安全服务支持对该漏洞的便捷检测与修复。 1. 检测并查看漏洞详情，详细的操作步骤请参见漏洞管理。 手动检测漏洞 2. 漏洞修复与验证，详细的操作步骤请参见漏洞管理。

声明与协议 声明 百川智能的开发团队并未基于 Baichuan 2 模型开发任何应用，无论是在 iOS、Android、网页或任何其他平台。强烈呼吁所有使用者，不要利用 Baichuan 2 模型进行任何危害国家社会安全或违法的活动。另外，百川智能也要求使用者不要将 Baichuan 2 模型用于未经适当安全审查和备案的互联网服务。希望所有的使用者都能遵守这个原则，确保科技的发展能在规范和合法的环境下进行。 百川智能已经尽可能确保模型训练过程中使用的数据的合规性。但由于模型和数据的复杂性，仍有可能存在一些无法预见的问题。因此，如果由于使用 Baichuan 2 开源模型而导致的任何问题，包括但不限于数据安全问题、公共舆论风险，或模型被误导、滥用、传播或不当利用所带来的任何风险和问题，百川智能不承担任何责任。 协议 使用 Baichuan 2 模型需要遵循 Apache 2.0 和《Baichuan 2 模型社区许可协议》。Baichuan 2 模型支持商业用途，如果您计划将 Baichuan 2 模型或其衍生品用于商业目的，请您确认您的主体符合以下情况： 您或您的关联方的服务或产品的日均用户活跃量（DAU）低于100万。 您或您的关联方不是软件服务提供商、云服务提供商。 您或您的关联方不存在将授予您的商用许可，未经百川许可二次授权给其他第三方的可能。 在符合以上条件的前提下，您需要通过以下联系邮箱 opensource@baichuaninc.com，提交《Baichuan 2 模型社区许可协议》要求的申请材料。审核通过后，百川将特此授予您一个非排他性、全球性、不可转让、不可再许可、可撤销的商用版权许可。 免责声明 Baichuan27B模型来源于第三方，本平台不保证其合规性，请您在使用前慎重考虑，确保合法合规使用并遵守第三方的要求。

本文简述介绍域名添加失败时的可能原因及解决方案。 问题描述 使用天翼云视频直播加速时，无法添加域名。 可能原因及解决方案 使用天翼云直播加速过程中，如果您遇到了添加域名失败的问题，可以按以下思路排查： 1. 检查域名是否重复添加。 2. 请检查域名是否已在直播控制台新增该域名。新增域名需要几分钟后生效，如果域名已有新增工单存在，请耐心等待新增工单完结后继续使用直播加速。查看工单进度请参见工单列表管理。 3. 检查域名是否已备案。根据《中华人民共和国互联网信息服务管理办法》，在中国大陆提供互联网信息服务的网站，包括使用直播加速的网站，必须进行备案。如果您的网站使用直播加速，建议您通过备案中心或咨询相关部门，了解详细的备案要求和流程。这样可以确保您的网站合规运营，并避免可能的法律风险。 4. 检查是否开通视频直播服务。您可以登录天翼云官网，并单击右上角【我的】下方的【产品视图】，查看已开通的产品或资源包。如果您未开通视频直播服务，或处于停用、到期、退订等不可使用状态，可参考开通视频直播服务进行开通。 5. 域名归属权检验未通过。您可根据《验证域名归属权》检查确认是否已完成相关归属权验证步骤。 如以上问题均不涉及，您可通过提交工单提供添加失败的相关报错或提醒信息，联系技术支持团队获取帮助。

本文介绍云SSO用户的管理 创建用户 1. 登录云SSO控制台（++中国电信天翼云管理中心++）。 2. 左侧菜单栏点击“云SSO”用户 3. 点击右上角“创建用户” 4. 在创建用户面板，设置用户基本信息，然后单击确定 5. 选择密码初始化方式 向用户发送一封包含密码设置说明的邮件:用户可登录邮箱后自行设置密码 生成随机的一次性密码:由系统自动生成，云SSO用户创建完成后会弹窗显示 6. 为云SSO用户分配用户组； 7. 主账号进入云SSO用户的详情页，点击发送验证邮件（注意：请进入管理页面手动点击发送验证邮件）； 8. 登录云SSO用户的关联邮箱，完成云SSO用户的创建验证 9. 登录“云SSO控制台”“云SSO用户”选择该用户信息，点击“启用”按钮。 10. 完成创建。 查看用户详情 在云SSO用户页面，单击目标用户名称，可查看用户的以下信息： 用户名、用户ID、姓名、状态、邮件地址、创建时间、创建方式、更新时间等信息。 启用云SSO用户 1. 完成邮箱初始化验证的用户可以进行用户启用。 2. 主账号可进入云SSO用户详情页，点击发送验证邮件。 3. 在“云SSO控制台”“云SSO用户”选择该用户信息，点击“启用”按钮。 禁用云SSO用户 1. 在“云SSO控制台”“云SSO用户”选择该用户信息，点击“禁用”按钮 2. 禁用后，云SSO用户将无法登录组织内的成员账号。

本节主要介绍应用场景 企业内部系统解耦 随着企业的高速发展、业务的快速变化，要求企业内部系统跟随业务需求一同变化，但是企业内部系统存在相互依赖关系，为保持系统的通用性与稳定性，很难应对业务的变化。而API网关使用RESTful API， 帮您简化服务架构，通过规范化、标准化的API接口，快速完成企业内部系统的解耦及前后端分离。同时，复用已有能力，避免重复开发造成的资源浪费。 企业能力开放 当今企业面临巨大的挑战，企业的发展需要依赖外部合作伙伴的能力，典型的例子如使用第三方平台支付、合作方帐户登录等。通过API网关将企业内部服务能力以标准API的形式开放给合作伙伴，与合作伙伴共享服务和数据，达成深度合作，构建企业共赢生态。 拥抱API经济 随着用户需求的不断增加，企业原有的销售模式随之改变，逐渐替换为能力变现。通过API网关将企业服务能力包装成标准API服务，上架API市场进行售卖。变现自身服务能力的同时，降低合作伙伴的研发投入，使合作伙伴更加专注于自身核心业务，提升运营效率。

本节介绍如何处理暴力破解告警事件。 暴力破解是一种常见的入侵攻击行为，攻击者通常使用暴力破解的方式猜测远程登录的用户名和密码，一旦破解成功，即可实施攻击和控制，严重危害资产的安全。 态势感知（专业版）联动企业主机安全（HSS），接收HSS检测到的暴力破解行为，集中呈现和管理告警事件，提升运维效率。 处理告警事件 HSS通过暴力破解检测算法和全网IP黑名单，若发现暴力破解主机的行为，对发起攻击的源IP进行拦截，并上报告警事件。 当接收到来源于HSS的告警事件时，请登录HSS管理控制台确认并处理告警事件。 若您的主机被爆破成功，检测到入侵者成功登录主机，账户下所有云服务器可能已被植入恶意程序，建议参考如下措施，立即处理告警事件，避免进一步危害主机的风险。 请立即确认登录主机的源IP的可信情况。 请立即修改被暴力破解的系统账户口令。 请立即执行检测入侵风险账户，排查可疑账户并处理。 请及时执行恶意程序云查杀，排查系统恶意程序。 若您的主机被暴力破解，攻击源IP被HSS拦截，请参考如下措施，加固主机安全。 请及时确认登录主机的源IP的可信情况。 请及时登录主机系统，全面排查系统风险。 请根据实际需求升级HSS防护能力。 请根据实际情况加固主机安全组、防火墙配置。

本节介绍态势感知的应用场景。 资产风险管理 云上业务众多，云上资产日益庞大，以及云资产的变化频繁，大大增加了云上安全风险。 态势感知集中呈现云上所有资产安全状况，实时监控云上业务整体安全，让服务器中的漏洞、威胁和攻击情况一目了然，保障所有资产的安全，帮助企业轻松应对资产安全风险。 威胁事件告警 面对云上各类安全威胁，以及不断涌出的新型威胁类型，态势感知通过汇集全网流量数据和安全防护设备日志信息，能够实时检测和监控云上安全风险，实时呈现告警事件的统计信息，并可对各种威胁事件进行汇聚统计。 此外，针对常见的暴力破解、Web攻击、僵尸主机威胁事件，可预制的安全防护策略有效防御威胁风险，提升运维效率。 风险配置管理 支持检测云服务关键配置项，通过执行扫描任务，检查云服务基线配置风险状态，分类呈现云服务配置检测结果，告警提示存在安全隐患的配置，并提供相应配置加固建议和帮助指导。

细粒度的应用资源管控 用户登录零信任客户端后并不代表就可以在内部网络中畅通无阻，零信任服务能精准得限制登录用户的访问范围，每个用户只能访问自己有权限的应用资源。零信任服务支持按组织、用户和用户组三个维度对用户和应用进行授权。您可以在边缘安全加速平台零信任控制台中配置应用访问策略，详细操作见配置应用授权。 持续认证的高级安全防护 目前控制台尚未开放这些高级防护功能的策略配置，如有自定义配置的需求请通过联系我们。 准入管控 在终端用户的登录过程中，零信任不仅通过账号密码、手机短信进行身份认证，还会基于用户登录行为和登录环境进行准入管控。准入管控功能支持检测计算机操作系统版本、限定访问时间、限定访问地点、是否异地登录、是否运行指定杀毒软件等12个维度进行检测和管控，及时阻断不符合要求的登录行为。 横向渗透防护 零信任服务会持续验证终端用户的访问请求，识别出异常的访问行为，避免攻击者突破身份认证边界后进行横向渗透。横向渗透防护功能支持设备、账号、IP等不同的统计粒度，对访问行为的请求频率和请求维度进行实时统计分析，还可以选择挑战认证、访问阻断和注销登录等方式对具有横向渗透特征的异常行为进行及时处置。

万卡规模国产化集群下,断点续训在5类故障下实现1分钟检测、5分钟内定位、15分钟内恢复训练。 测试数据及代码准备 数据集 数据集大小 使用模型 Wikipediaen (1M条) 9.1GB Llama270B /Llama3.1405B ● 使用预处理为MindRecord格式的Wikipediaen (1M条)数据集，上传到对象存储，并由对象存储下载到平台HPFS。 ● 测试代码在gitlab仓库下载到本地，并放置于/work/home下。 脚本和任务准备 按照下面修改run.sh脚本 ! /bin/bash huijuformers的绝对路径, 需要修改pathtohuijuformers export BASEDIR/work/data/llama29216/huijuformers 以下为平台自动注入的环境变量 yaml文件中需要修改的环境变量 export BATCHSIZE1 export EPOCHS350 export LEARNINGRATE6.e5 export DATAPARALLEL256 export MODELPARALLEL4 export PIPELINESTAGE9 模型微调相关 export FINETUNEMODELTYPEllama270bbase 合并为一个参数,与模型存放文件夹名称一致（与后端沟通过） export FINETUNINGTYPEALL export TIMETAG$(date +"%m%d%H%M") 数据相关 export DATASETPATH${BASEDIR}/data export DATASETFILEoriginaldata.json 需要修改 以下为平台后端需要自行更改后传入的环境变量 平台数据格式转换，专用数据调试时用不到 export DATASETTMPPATH${BASEDIR}/data/processeddata/${FINETUNEMODELTYPE} mkdir p ${DATASETTMPPATH} 模型输入 专业模式，平台训练时需要按照平台的挂载路径去修改这一块的变量 export CHECKPOINTDIR'' 低代码模式，微调时约定挂载为下面的路径 export CHECKPOINTDIR/work/mount/publicModel/${FINETUNEMODELTYPE}/${FINETUNEMODELTYPE} 输出文件夹路径，runmode为训练模式，如train,lora,full runmodetrain export OUTPUTDIR${BASEDIR}/output/${FINETUNEMODELTYPE}/${runmode}/${TIMETAG} export OUTPUTROOTDIR${BASEDIR}/output/${FINETUNEMODELTYPE}/${runmode} rm rf ${OUTPUTDIR}/resumerecord 获取节点IP、名称，记录至文件 echo $(hostname I awk '{print $1}'),$NODENAME >> ${BASEDIR}/output/nodes sed i '/pamlimits.so/s/^//' /etc/pam.d/sshd 启动脚本 cd ${BASEDIR}/bin/scripts apt install netcat y 微调 bash finetune.sh 预训练 export MSTOPOTIMEOUT7200 bash train.sh

本节介绍如何为服务器安装/卸载服务器安全卫士Agent。 服务器安全卫士Agent是安装在云主机上的一款应用软件，用于检测云主机中存在的安全风险。 安装Agent后，才能使用服务器安全卫士的防护能力，包括资产管理、风险管理、入侵检测、网页防篡改等。 如果不安装Agent，将无法对云主机进行安全检测。 使用限制 目前支持安装Agent的操作系统请参见支持的操作系统。 注意 如果您的服务器操作系统不在支持范围内，安装Agent后可能存在兼容性问题，无法保证能正常使用服务器安全卫士（原生版）的防护能力。 如果您的服务器上已安装第三方安全软件，可能会导致服务器安全卫士的Agent无法正常安装和升级 ，建议您先关闭或卸载安全软件后再安装Agent。 安装Agent 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“资产管理 > 服务器列表”，进入服务器列表页面。 3. 点击“安装Agent”，弹出安装Agent窗口，按需选择Linux和Windows系统的安装命令。 Linux主机安装Agent 1. 选择Linux系统，复制安装命令。 2. 在Linux云主机中以管理员权限执行安装命令进行安装。 说明 手动安装Agent后，等待5分钟左右会自动连接，请耐心等待（无需重启服务器）。

步骤二：专线网关添加静态路由 1、登录云专线控制台，在左侧导航栏中，单击【专线网关】。 2、在专线网关页面，选择目标专线网关，在操作列中单击【详情】。 3、在专线网关客户侧路由页签，单击【添加路由】，配置以下参数信息，然后单击【确定】。 配置 说明 路由模式 选择路由模式。 本文选择静态。 客户侧IP类型 选择专线网关的路由类型，支持选择IPv4、IPv6、双栈。 本文选择IPv4。 客户侧子网 输入专线网关要转发的目的网段。 本文输入192.168.1.0/24。 物理专线/静态 1、单击【添加物理专线】，选择需要配置静态路由的物理专线，本文选择已创建的物理专线 2、在操作栏中单击【编辑】，设置已添加物理专线的优先级和网络检测配置，本文优先级选择50和网络检测选择关闭 3、优先级和网络检测配置完成后，在操作栏中单击【保存】。 步骤三：专线网关添加VPC 1、登录云专线控制台，在左侧导航栏中，单击【专线网关】。 2、在专线网关页面，选择目标专线网关，在操作列中单击【详情】。 3、在专线网关VPC页签，单击【添加VPC】，配置以下参数信息，然后单击【确定】。 配置 说明 VPC实例类型 选择VPC实例类型。 本文选择同账号。 专属云项目 选择天翼云专属云。 本文选择无。 VPC 选择云专线需要访问的VPC名称。 本文选择已创建的VPC。 VPC网段（IPv4） 选择VPC的IPv4网段。 本文选择10.10.0.0/16。 IP类型 选择VPC子网的IP类型。 本文选择IPv4。 子网 选择云专线需要访问的VPC子网。 本文选择10.10.0.0/24。 权重 选择专线网关到VPC侧路由的权重。 本文选择100。

使用云服务基线相关功能时，需要先参考本章节设置检查计划。 操作步骤 1. 登录管理控制台。 2. 在页面左上角单击，选择“安全 > 态势感知（专业版）”，进入态势感知页面。 3. 在左侧导航栏选择“设置 > 检测设置”，进入检测设置页面。 4. 在检测设置页面中，选择待创建计划所在的区域，并单击“创建计划”，系统右侧弹出新建检查计划页面。 5. 配置检查计划。 1. 填写基本信息，具体参数配置如下表所示。 参数名称 参数说明 计划名称 自定义检查计划的名称。 检查时间 选择检测周期和检查触发时间。 检测周期：每隔1天、3天、7天、15天、30天检查一次 检查触发时间：00:0006:00、06:0012:00、12:0018:00、18:0024:00 2. 选择检查规范。选择需要检测的基线检查项目。更多关于基线检查项目详细描述请参见云服务基线简介。 3. 单击“确定”。 6. 检查计划创建完成。 SA会在指定的时间执行云服务基线扫描，扫描结果可以在“安全 > 态势感知 > 基线检查”中查看。

使用第三方软件结合虚拟IP实现高可用时，心跳检测的源IP怎么配置？ 如果您使用第三方软件（例如keepalived）结合虚拟IP实现高可用，您在配置心跳检测的源IP时可以选取主备云服务器上的任意两个相通的IP地址。通常情况下您可以选择主网卡的主IP地址去配置心跳检测的源IP。 绑定虚拟IP的云服务器访问公网时，数据包的源IP是什么？ 有虚拟IP的实例访问公网，取决于用户的配置方式。虚拟IP和云服务器网卡的普通IP都可以绑弹性IP，虚机里配置路由条目，来决定用哪个IP（虚拟IP和云服务器网卡的普通IP）出公网，如果您选择的虚拟IP地址，云网络就会转换为虚拟IP绑定的弹性IP出公网，如果您选择用的网卡普通IP，云网络就会转换为云服务器网卡绑的弹性IP的出公网。 如何修改云服务网卡MTU? 一些通信场景或网络产品对云服务器发出的数据包大小有着严格的要求，您可以适当修改数据包大小以达到最优吞吐量，保证网络的连通性，避免因数据包过大而必须拆分数据包导致额外的时间损耗。且一些数据库比较大的场景需要修改网卡的MTU值来实现高性能的Oracle rac。 使用限制： 1. 修改云服务器网卡MTU值时，注意不要超过支持的最大MTU上限（8000），否则可能导致网络不通！ 2. 云服务器网卡MTU默认值为1500，仅支持主网卡MTU值修改。 3. 修改网卡MTU值可能会造成瞬时网络断流，如果您的业务严格要求网络实时不能中断，请谨慎评估后再决定是否要修改！ 使用方法： 您可以通过工单申请去修改网卡MTU，请谨慎操作！

本文将为您介绍什么是弹性伸缩健康检查。 弹性伸缩服务支持健康检查功能，可保障业务由运行状态健康的云主机承载。 弹性伸缩健康检查主要包含三种健康检查方式：云主机健康检查、弹性负载均衡健康检查和不启用健康检查，使用前两种检查方式自动替换不健康实例，避免业务中断，降低服务抖动。 云主机健康检查：此类检查指的是通过对云主机实例的健康检查，将处于“异常”状态的云主机移出伸缩组，例如处于“错误”等状态的云主机将会被移出，同时伸缩组将会创建新的健康实例来替代被移出伸缩组的实例，确保满足伸缩组实例数量配置要求。此方式为弹性伸缩默认检查方式。 弹性负载均衡健康检查：此类检查方式仅当您启用负载均衡器时才可启用。当您开启负载均衡健康检查时，您可以根据弹性负载均衡对伸缩组内云主机实例内服务的端口的状态进行检查。如果您在一个伸缩组内启用了多台负载均衡器，则只有在所有负载均衡器均检测到云主机实例状态为健康的情况下，才会认为该云主机实例正常。只要有一个负载均衡器检测出云主机端口的服务状态是异常的，伸缩组都会将其移出。 不启用健康检查：关闭伸缩组健康检查，伸缩组不会获取实例健康状态信息。 云主机健康检查、弹性负载均衡健康检查两种检查方式在检测出异常云主机实例后，都会将其进行移出，但是移出之后是否删除取决于此云主机实例的加入方式与付费方式： 若此云主机实例是按需计费，则自动添加的实例在移出后会被释放，而手动添加进来的云主机实例在移出后将会继续保留。 若此云主机实例是包年包月的周期计费，则在移出后将不会被释放。 注意 若伸缩组处于停用状态，健康检查将会继续执行，但不会触发任何伸缩活动，即不会将云主机实例进行移出。

托管检测与响应服务（原生版）安全评估购买须知、服务内容及操作步骤说明。 服务内容 1. 提供云主机、应用、网络整体安全状况评估。 2. 提供安全评估报告，汇报整体安全态势。 3. 提供加固建议，协助完成安全加固。 4. 安全评估在整个托管服务周期内有效。 操作步骤 1. 登录托管检测与响应服务（原生版）控制台。 2. 点击安全评估“立即购买”按钮，跳转到安全评估订购页面。 3. 您可根据自身需求在【产品配置】栏选择评估次数，选择立即购买并支付。 4. 在“支付”页面，请选择付款方式进行付款。 5. 付款成功后，返回托管检测与响应服务（原生版）控制台，查看订购状态。 6. 订购完成后，24小时内，我们的服务经理会与您联系。

本文介绍CDN叠加Web应用防火墙（边缘云版）的产品实践。 背景信息 天翼云CDN加速（CDN，Content Delivery Network），即内容分发网络，是基于天翼云遍布全球的网络节点提供的内容分发加速服务。它将源站内容分发至最接近用户的节点，使用户可就近获取所需内容，解决因跨运营商、跨地域、服务器带宽及性能瓶颈带来的访问延迟问题，提高用户访问的响应速度和成功率。 Web应用防火墙（边缘云版）依托天翼云的云安全节点形成云安全网络，结合云端大数据分析平台，为用户提供应对Web攻击、入侵、漏洞利用、挂马、篡改、后门、爬虫等防护。 适用场景 网站对内容有加速需求，同时又有较高的安全防护要求时，可以选择使用天翼云CDN加速叠加Web应用防火墙（边缘云版）产品。相关产品介绍，详情请见：Web应用防火墙（边缘云版）。 工作原理 天翼云CDN叠加Web应用防火墙（边缘云版）产品后用户请求流程如下： 用户请求先到CDN，由CDN将请求转发到Web应用防火墙，Web应用防火墙再将请求转到源站服务器。 操作流程 前提条件： 加速域名需已接入天翼云CDN加速，在此基础上叠加Web应用防火墙配置。 详细步骤如下：

此小节介绍Web应用防火墙的计费模式。 计费模式 独享模式：支持包年/包月和按需计费方式。 内容安全检测：支持包年/包月和按需计费方式。 文本安全监测（按年） 文本安全监测（按月） 内容安全单次检测（按需） 按“检测对象”的总个数进行收费。同一个对象再次进行扫描时，需要重新收费。例如：单次配置了10个检测对象（新媒体账号或网站网址），每个检测对象检测一次，则需要进行10次收费。 包年包月 计费说明： 包年包月计费，一种预付费模式，即先付费再使用，一般为包年包月的购买形式。 支付成功后，云资源将被系统分配给用户使用，直到超过保留期后被系统回收。 适用场景： 适用于较稳定的业务场景。 需要长期使用，追求低成本。 注意 包周期模式仅支持WAF实例创建类别为：资源租户类型。 按需计费 计费说明： 按需计费根据资源的结算周期进行结算。一般按需计费的结算周期有小时/日/月等，在达到结算周期时，系统会生成账单，进行扣费。 如果账户余额不足，资源将进入保留期，需要在保留期完成缴费，超过保留期，所使用资源将被关停并收回资源。 适用场景： 业务发展有较大波动性，且无法进行准确预测。 资源使用有临时性和突发性特点。

参数 说明 平台名称 向上级联的平台名称。 SIP服务国标编码 该信息一般由上级平台提供，也可以由上下级平台协商确定，用于上下级平台相互身份鉴权。 SIP服务国标域 SIP服务国标域默认截取SIP服务国标编码的前10位。 SIP服务IP/端口 由上级平台提供。 设备国标编号 下级平台的国标编号。 级联区域 上下级平台进行级联的区域，一般选择较近的区域即可。 网络类型 默认选择互联网，专线网络需要天翼云提供IP和端口信息。 开启鉴权 根据级联需要选择开启/关闭鉴权功能。 SIP认证用户名 对应上级平台接入信息设备国标ID。 SIP认证密码 对应上级平台关联的GB28181凭证的凭证密码。 级联方式 根据GB 28181协议标准，支持虚拟业务组和行政区划两种方式（ 将会影响平台下设备目录的构建方式 ）。 所属行业 根据GB 28181协议标准，选择所属行业。 上级级联区域 选择上级平台的所属区域。 信令传输 支持TCP和UDP两种协议。 字符集 支持GB2312和UTF8两种字符集，UTF8涵盖更广泛的中文字符范围，而GB2312在平台兼容性方面表现更为稳定。在平台对接中，若未明确指定字符集，建议优先选择GB2312。 35114国密认证 开启35114国密认证，需要上级平台支持。开启后，您需要在级联平台页面创建证书请求并上传相关证书。 注册周期 注册周期不小于300秒。 心跳周期 心跳周期不小于60秒。 分组目录大小 执行目录推送任务的时候，单个消息包含的目录数量 权限集合 支持复选，包含云台、流保活和录像下载。 是否使用通道的实际名称 开启该功能，NVR通道向上级联使用通道的实际名称，仅支持GB28181协议和EHOME协议。 级联映射 上下级平台因防火墙等情况无法访问时，开启该选项，可分别配置本地和上级地址映射。 描述 请输入平台级联的相关描述，例如平台属性、用途等。

“云通信产品”（简称“本产品”）由天翼云科技有限公司（简称“我们”）创建和运营，我们的注册地址为：北京市东城区青龙胡同甲1号、3号2幢2层20532室。为方便用户（简称“您”）使用本产品的服务，我们可能会处理您的相关数据和个人信息（统称“信息”或“用户信息”）。我们将通过《云通信产品隐私政策》（简称“本隐私政策”）向您说明我们如何处理您的个人信息，请您在注册和使用本产品之前认真阅读、充分理解本隐私政策，尤其是划线和加粗的内容。如果您对本隐私政策有疑问的，请通过本隐私政策约定的方式询问，我们将向您解释本隐私政策内容。 详情请参见这里。

本小节介绍证书管理服务证书审核类常见问题。 证书签发失败有哪些常见原因？ 1.当前域名存在 CAA 解析记录 问题现象： 域名管理员设置了CAA解析记录来授权指定的CA机构为其颁发SSL证书，CA机构在颁发SSL证书时会检测域名CAA记录，如果发现未获得授权，将拒绝为该域名颁发SSL证书。 解决办法： 域名管理员前往域名解析平台将CAA解析记录删除或将证书CA机构名称加入CAA解析记录，操作完成后等待CA重新验证。 2.文件验证，域名站点未支持境外访问 问题现象： 申请证书对应的域名的网站限制海外访问，由于国际证书的CA审核机构基本是海外机构，CA机构无法进行文件验证扫描审核，导致证书签发失败。 解决办法： 请确保Web网站端口号设置为80或443，所有地区均能匹配到验证值。如应用服务器限制境外访问，需要将CA机构的IP加入访问白名单，证书颁发完成或域名信息审核通过后，即可还原访问策略以及删除验证文件。 3.证书申请涉及高风险，已进行人工复核 问题现象： 您申请的证书未通过证书的签发机构风控系统检测，可能原因：绑定的域名疑似涉及行业品牌、行业商标、违禁词等风控敏感词。所以该证书进入人工复审阶段。 解决办法： 耐心等待人工复审结果，如未审核通过，可更换域名重新申请。如无法更换域名可选购企业型（OV）、增强型（EV）证书，OV/EV证书会进行企业信息审核，审核通过后即可正常签发证书。

本文主要介绍云日志服务的应用场景。 运维管理 在集群的运维工作中，企业应用的运维日志分散在不同的节点上，通过云日志服务提供的采集器将分散在集群各个节点的重要日志数据采集到日志服务平台进行集中化统一管理，享受全托管式服务。 全托管式：日志集中统一管理，提供日志采集、存储、检索与分析能力。 海量日志管理：支持每天百TB级日志的接入，十亿级日志秒级搜索。 提升运维效率：通过关键词检索可快速搜索出异常事件的日志，定位问题节点，结合上下文查询能力将异常事件的调用链完整还原，全面提升运维效率。 日志数据统计分析 云日志服务支持对日志内容进行结构化处理，按照指定的分词规则将日志原文格式化解析为键值对，即可更方便地日志数据进行统计分析，包括网站或应用程序的访问分析、业务数据分析、安全事件分析等，帮助企业更全面、更便捷地了解系统、业务和用户等方面的情况，优化运营和决策，从而提高企业的业务价值和竞争力。 多种结构化解析：针对日志记录格式不规范、不统一的问题，云日志服务提供JSON、分隔符、正则等格式结构化解析能力，使日志具备可读性与可分析性。 灵活构造分析条件：支持SQL语句或可视化方式构造不同的分析条件，提供丰富的查询分析语句，学习成本低，可灵活构造各类数据分析场景。 可视化分析结果展示：提供柱状图、饼图、时序图、流图等多种图表对日志数据进行直观化分析展示，有助于迅速发现趋势、异常和潜在问题，更好地了解业务运行状况，及时做出相应的决策。

如何在模型开发JupyterLab和VSCode中使用自定义镜像？ 需要将对应的软件安装包打包进您的自定义镜像中，具体方式见下方。 在docker file中具体执行命令。 plaintext VSCode curl fsSL sh codeserver installextension mspython.python plaintext Jupyterlab pip install jupyterlab 将打包好的镜像在本地起起来，然后运行如下命令安装软件，安装完成后，执行 docker commit {容器名称}，打包成新镜像后，即可上传。 plaintext VSCode curl fsSL sh codeserver installextension mspython.python plaintext Jupyterlab pip install jupyterlab 我想基于自己的模型进行二次训练微调怎么做？ 可以先在模型管理中导入自己的模型，在JupyterLab和VSCode创建训练任务，在挂载模型的选项中选择【模型管理】，选择已导入需要二次训练微调的模型，即可挂载自己的模型进行训练。 训推智算服务平台是否支持IB和NVlink？ 当前昇腾集群暂不支持。 如何给子账号配置资源使用的限额？ 主账号管理员进入运营后台，在配置设置模块，可支持设置单用户最大同时使用的GPU/CPU数量以及并行文件存储初始分配额度。 创建基础数据集或在开发机及训练任务中增加存储配置时，为什么不填ZOS/HPFS路径会报错？ 请检查您的账号类型，这可能是平台权限策略所导致的。 若您是管理员用户，您可以挂载到整桶或者文件系统粒度，路径对您来说是选填项； 若您是普通子账号，您必须填写具体的已被授权的路径，路径对您来说是必填项，若不填写则无法提交。